Tu gato bajo vigilancia: cómo un comedero "inteligente" puede convertirse en un aparato espía

En el popular ecosistema de comederos inteligentes Petlibro se descubrió un conjunto de vulnerabilidades que, en el peor de los casos, permitían a un atacante acceder a la cuenta de otra persona, obtener datos sobre la mascota y controlar los dispositivos vinculados —incluyendo cambiar el horario de alimentación y el funcionamiento de la cámara. El investigador, que publicó análisis, afirma que la empresa solucionó parte de los problemas rápidamente, pero dejó el fallo clave en el mecanismo de acceso mediante cuenta de terceros activo por más de dos meses «por compatibilidad» —y lo desactivó solo después de la publicación.

Según el autor, la investigación comenzó con el análisis de la aplicación móvil Petlibro, que usan los propietarios de comederos inteligentes, bebederos y otros dispositivos IoT para animales. Estos dispositivos se colocan a menudo en casa y se usan de forma remota —por ejemplo, para alimentar a un gato o a un perro durante un viaje. Por eso cualquier error en la autenticación y las comprobaciones de acceso resulta especialmente sensible: no se trata solo de datos, sino del control real sobre el dispositivo y la vida cotidiana de la persona.

El hallazgo principal que señala el investigador es una evasión de la autenticación en uno de los escenarios «sociales» de acceso. Según su descripción, el problema consistía en que el servidor no verificaba la validez del token OAuth y confiaba en los datos enviados por el cliente. Como resultado, si se conocían los identificadores públicos, era posible obtener una sesión válida de un perfil ajeno. La empresa, según se afirma, añadió un nuevo mecanismo más seguro, pero dejó activo el antiguo punto de acceso vulnerable para compatibilidad con versiones anteriores, esperando a que la mayoría de los usuarios actualizara la aplicación.

Después la cadena, según el autor, se desplegó hacia la privacidad y el control del hardware. En el API, según describe, había métodos que devolvían datos sobre la mascota por identificador sin comprobar que la solicitud la realizara el propietario. Esto permitía obtener el perfil del animal —nombre, fecha de nacimiento, peso, parámetros de actividad y apetito, fotografía y asociación con el propietario. Y con esos mismos datos, afirma el investigador, se podía acceder a la información sobre los dispositivos (incluidos los identificadores técnicos) y luego ejecutar acciones disponibles para el propietario: cambiar ajustes, iniciar la alimentación manualmente, gestionar los horarios y, en el caso de modelos con cámara, acceder al flujo de vídeo.

El autor destaca por separado el riesgo de fuga de contenido personal: algunos dispositivos permiten grabar mensajes de voz que se reproducen para la mascota durante la alimentación. Según él, los identificadores de esas grabaciones eran previsibles y la asociación de la grabación con el dispositivo no estaba suficientemente protegida, por lo que se podía acceder a archivos de audio ajenos. Otro escenario que describe es la posibilidad de añadirse como «copropietario» de un dispositivo ajeno mediante un método de acceso compartido insuficientemente protegido.

La historia estuvo acompañada también de un conflicto sobre las «reglas del juego» para el investigador. Según la cronología que aporta, notificó los problemas el 5 de noviembre de 2025, recibió confirmación de recepción y una oferta de recompensa de 500 dólares, tras lo cual la empresa, ya después de recibir los datos de pago, envió una carta sobre confidencialidad y le pidió varias veces que la firmara. El investigador afirma que no aceptó el NDA por adelantado y se negó a firmar el documento, subrayando que la postura unilateral de «te hemos enviado dinero, por tanto aceptaste» no funciona.

Al 4 de diciembre, según él, Petlibro comunicó que la «mayoría» de las vulnerabilidades estaban corregidas y que la evasión de la autorización «se había arreglado en la última versión de la aplicación», pero el punto de acceso vulnerable «obsoleto» siguió funcionando varias semanas más. En una actualización de la publicación, el autor escribe que el 28 de diciembre de 2025 la empresa le notificó por escrito la desactivación de la ruta problemática —tras su advertencia sobre el inminente artículo.

Para los usuarios la conclusión es simple: si utiliza Petlibro (o cualquier dispositivo IoT similar), conviene actualizar la aplicación y el firmware a las versiones vigentes, y también ser más prudente con el acceso social y el uso compartido de los dispositivos. Para los fabricantes, el caso recuerda una vez más: la «compatibilidad» no debe ser una excusa para mantener funcionalidades peligrosas cuando se trata de autenticación y control remoto de dispositivos en el hogar.