Hacker demuestra los riesgos de seguridad de un robot cortacésped autónomo

Un experimento peligroso que expone graves fallos de seguridad

La idea de robots autónomos con cuchillas afiladas moviéndose por el jardín ya plantea dudas. Pero ¿qué ocurre cuando estos dispositivos se conectan a internet? El resultado puede ser catastrófico, como demostró el hacker de sombrero blanco Andreas Makris.

Makris, ubicado a casi 6.000 kilómetros de distancia en Alemania, tomó el control remoto de un robot cortacésped Yarbo propiedad del periodista Sean Hollister, de The Verge. Lo que comenzó como una prueba de concepto se convirtió en una situación de riesgo real.

«Estoy tumbado en el suelo. El robot viene hacia mí. Con un movimiento brusco, comienza a trepar por mi pecho. Si Andreas Makris no detiene el robot de 200 libras a tiempo, sus cuchillas podrían arrastrarse por mi cuerpo», escribió Hollister en su artículo.

Por suerte, Hollister salió ileso, pero el experimento reveló un problema grave: el robot Yarbo era extremadamente vulnerable a ataques externos.

Acceso total y datos expuestos

Makris descubrió que, mediante una contraseña raíz predeterminada idéntica en todos los dispositivos, podía controlar cualquier robot Yarbo conectado a internet. No solo eso: también podía acceder a información sensible de los usuarios, como:

• Direcciones de correo electrónico de los propietarios.
• Contraseñas de la red Wi-Fi.
• Coordenadas GPS de sus viviendas.

Peor aún, Makris comprobó que Yarbo había incluido una puerta trasera intencional en sus robots. Este acceso remoto:

• Se instala automáticamente en cada dispositivo.
• No puede ser desactivado por el usuario.
• Se restaura si alguien intenta eliminarlo.

Un riesgo que Yarbo ignoró

Tras advertir a la empresa sobre estas vulnerabilidades, Makris no recibió respuesta. Yarbo insistió en que sus robots eran «completamente seguros y bajo el control exclusivo del usuario».

Esta negativa llevó a Hollister a someterse al experimento en primera persona. Como relató en su artículo:

«Mientras 100 libras de metal, plástico y un ordenador demasiado vulnerable me inmovilizan contra el suelo —y Makris, por suerte, detiene el robot—, me doy cuenta de que este experimento no era tan seguro como parecía».

Posibles consecuencias de un ataque real

Si un ciberdelincuente explotara estas vulnerabilidades, los daños podrían ser graves:

• Manipulación del robot para atacar a personas o mascotas.
• Robo de datos personales almacenados en el dispositivo.
• Uso del robot como herramienta de espionaje en propiedades privadas.
• Sabotaje contra vecinos o creación de situaciones absurdas (como patrones en césped para generar teorías conspirativas).

Además, el problema no se soluciona cambiando la contraseña raíz, ya que cada actualización de firmware reinicia la contraseña predeterminada, dejando los dispositivos expuestos nuevamente.

¿Qué dice Yarbo?

Tras la publicación del informe de Makris, Yarbo no ha emitido una respuesta oficial detallada. Sin embargo, en sus declaraciones iniciales, la empresa minimizó los riesgos, asegurando que sus robots eran seguros.

Este caso subraya la importancia de auditorías de seguridad rigurosas en dispositivos IoT (Internet de las Cosas), especialmente aquellos con componentes móviles y potencialmente peligrosos.

Mientras tanto, los usuarios de robots cortacésped autónomos deben ser conscientes de estos riesgos y exigir mayor transparencia a los fabricantes.