Vigilancia, botnet y cuchillas controladas a distancia: lo que un hacker descubrió en 11.000 robots en todo el mundo
Miles de robots con cámaras, micrófonos y acceso a tu red: ¿qué podría salir mal?
Una persona se acostó bajo un robot-cortacésped mientras un hacker de Alemania controlaba el aparato a distancia a través de Internet. El experimento parecía una escena de un thriller de ciencia ficción, pero resultó ser una demostración de un problema real: miles de robots Yarbo en todo el mundo pueden ser secuestrados mediante la contraseña de administrador integrada.
El especialista en seguridad informática Andreas Makris descubrió que los cortacéspedes Yarbo usan las mismas credenciales para el acceso remoto. Según Makris, un atacante que obtiene acceso a un dispositivo controla de hecho todo el ecosistema de la compañía. El especialista creó un mapa con más de 11 000 dispositivos en todo el mundo y alrededor de 5 400 robots en EE. UU. y Europa.
Durante la demostración, Makris se conectó a un cortacésped en funcionamiento junto a una vivienda privada en el estado de Nueva York y empezó a controlar la máquina a través de Internet. La cámara del robot respondía a cada movimiento, y el aparato podía desplazarse libremente por la parcela. Los especialistas señalan que ese tipo de acceso permite vigilar a los propietarios y estudiar el terreno circundante.
El problema resultó mucho más grave que un simple control remoto. Makris informó que los sistemas Yarbo exponían las direcciones de correo electrónico de los propietarios, las contraseñas de Wi‑Fi y las coordenadas exactas de las viviendas. Los especialistas comprobaron varias direcciones y confirmaron la filtración. Uno de los propietarios admitió que la contraseña publicada coincidía efectivamente con la de su red doméstica.
Yarbo fabrica robots multifunción para el cuidado del jardín. La plataforma básica con orugas puede funcionar como cortacésped, quitanieves o recortadora. Todos los dispositivos usan un sistema Linux completo, y el acceso remoto integrado no puede desactivarse manualmente. Makris afirma que tras actualizar el firmware el robot volvía a la contraseña de administrador por defecto, incluso si el propietario la había cambiado por su cuenta.
El especialista advirtió que estos dispositivos pueden convertirse no solo en herramientas de vigilancia. Teóricamente, los atacantes podrían activar las cuchillas, escanear la red doméstica o agrupar robots en una botnet para ataques a otros sistemas. Makris también encontró varios dispositivos cerca de infraestructuras críticas, incluida una gran central eléctrica.
Tras la publicación en los medios, Yarbo reconoció el problema y lanzó actualizaciones de seguridad de emergencia. El cofundador de la compañía, Kenneth Kollmann, informó que los desarrolladores desactivaron temporalmente algunos canales de diagnóstico remoto, restablecieron las contraseñas de administrador y pasaron a credenciales únicas para cada dispositivo. La empresa también prometió implementar un sistema de acceso remoto autorizado y crear un canal separado para informes de vulnerabilidades.
Sin embargo, Makris y otros especialistas consideran que las medidas son insuficientes. Según ellos, Yarbo no renunció por completo al acceso remoto integrado, sino que solo intentó limitar su uso. También surgieron preguntas sobre el origen de la compañía. Aunque Yarbo se presenta como un fabricante estadounidense de robótica, la marca está vinculada a la empresa Hanyang Tech de Shenzhen, China.
La historia de Yarbo se convirtió en otro ejemplo de los problemas de seguridad de los dispositivos inteligentes. The Verge señala que muchos gadgets modernos mantienen acceso permanente a la red doméstica y recopilan una enorme cantidad de datos sobre los propietarios, y los fabricantes con frecuencia prestan a la seguridad una atención secundaria.