Los robots de Pudu Robotics sirven comida pero pueden ser una amenaza: un hacker se hizo con el control de una flota mundial de asistentes IA

La empresa Pudu Robotics, el mayor fabricante mundial de robots de servicio comerciales, se enfrentó a un problema crítico de seguridad. Un investigador independiente descubrió que casi todas las API utilizadas para gestionar sus equipos carecían de una verificación de permisos adecuada. Esto significaba que cualquier persona que obtuviera un token podía controlar a distancia robots de Pudu en todo el mundo —desde los BellaBot y KettyBot en restaurantes hasta máquinas de desinfección en hospitales y los FlashBot de oficinas, con manipuladores e integración en sistemas de ascensores.

Las vulnerabilidades permitían un abanico completo de acciones: ver y modificar el historial de llamadas, actualizar configuraciones, enviar órdenes de movimiento, cancelar tareas e incluso listar de forma global los robots por los identificadores de los locales. En la práctica, el control podía ser usurpado sobre cientos de miles de dispositivos que operan a diario en restaurantes, hoteles, centros médicos, oficinas y centros educativos. Los posibles abusos resultaban preocupantes. En un restaurante, los robots camareros podrían trabajar de forma caótica, bloquear pedidos en hora punta o convertirse en una interminable “mesa de DJ”. En una oficina, un atacante podría acceder a documentos con un FlashBot y sacarlos por el ascensor. En hospitales, alterarse las rutas de entrega de medicamentos o de desinfección. Y, por último, se podrían montar extorsiones mostrando en las pantallas códigos QR para pedir pagos en criptomoneda.

A pesar de la gravedad, los intentos del investigador de contactar con los equipos de ventas, soporte y técnicos de Pudu Robotics no obtuvieron respuesta. Incluso enviar correos a más de 50 empleados no provocó reacción. Solo después de que el especialista avisó a los mayores clientes de la compañía, Pudu Robotics respondió en el plazo de dos días. La contestación parecía un mensaje estándar con un marcador sin borrar «[Your Email Address]», pero la empresa aseguró que solucionaría el problema cuanto antes. Y efectivamente, en 48 horas las vulnerabilidades fueron cerradas.

Dado que los productos de Pudu se usan no solo en el sector de la restauración sino también en medicina y hostelería, la demora en reaccionar pudo haber tenido consecuencias graves para pacientes, huéspedes y empleados. Al principio, el investigador acusó a la empresa de ignorar deliberadamente los avisos para proteger su reputación e ingresos, pero tras una reunión por videoconferencia la situación se aclaró. En Pudu Robotics aseguran que en las etapas iniciales los correos no les llegaron y que, desde el momento en que la información se hizo accesible por otros canales, el equipo se puso a corregirlo de inmediato. Por eso pudieron contactar con el investigador solo cuando las actualizaciones ya estaban listas para desplegarse.

La compañía se comprometió a crear un centro especializado de respuesta a incidentes de seguridad (PUDU Security Response Center), habilitar una dirección de correo específica para recibir avisos y establecer un proceso de interacción más transparente con los investigadores. Las partes están discutiendo la posibilidad de colaborar de forma continuada en materia de seguridad.

El caso de Pudu Robotics evidencia que las vulnerabilidades en los robots de servicio comerciales son, al menos, tan relevantes como las de los sistemas informáticos tradicionales, puesto que el funcionamiento ininterrumpido de estos equipos incide directamente en la salud y el bienestar de las personas.