Xiaomi reconoce que sus patinetes pueden ser controlados de forma remota
Un blog de seguridad descubre una vulnerabilidad de los vehículos mediante Bluetooth
La firma Zimperium, a través de su blog, dio a conocer el pasado martes un grave problema de seguridad que afectaba a los populares patinetes eléctricos de Xiaomi. Esta vulnerabilidad permitía que cualquier hacker de forma remota y empleando la conexión inalámbrica Bluetooth pudiera acceder al vehículo, bloquearlo, modificar sus parámetros o incluso aumentar al máximo su velocidad sin que el usuario interviniera ni fuera consciente de ello. El fabricante ha reconocido la existencia de esta brecha de seguridad y hasta que la solucione, mediante una actualización del firmware, recomienda no utilizar aplicaciones de terceros.
En un vídeo grabado como prueba, Zimperium deja poco lugar a las interpretaciones: el presunto hacker se coloca en un semáforo y ‘ataca’ a su víctima desde el móvil a una distancia de unos cinco metros inutilizando por completo su patinete eléctrico. Los responsables de esta simulación advierten que, de la misma manera que han podido bloquear el patinete, podrían haberlo acelerado al máximo justo en el momento en que el usuario esperaba al semáforo en verde pudiendo provocar un accidente con consecuencias dramáticas.
“Es un error increíble por parte de Xiaomi”, explica a EL PAÍS Fernando Suárez, vicepresidente del Consejo de Colegios de Ingeniería Informática y usuario él mismo de uno de los patinetes afectados; “el fabricante se ha olvidado de proteger mediante contraseña el patinete”. Lo peor del asunto es que, hasta que el fabricante no distribuya la actualización que enmiende el problema, todos los patinetes son susceptibles de ser atacados. Con todo, Suárez relativiza la posibilidad de sufrir un hackeo: “Con el patinete estás casi siempre en movimiento y el Bluetooth tiene un alcance limitado”, explica en referencia a que son pocas las posibilidades reales de sufrir un ataque.
¿Solucionará la actualización este grave problema de seguridad? Desde luego, pero este experto advierte que “no será fácil que todos los usuarios actualicen; no es como actualizar un móvil”, ya que será necesario conectarse al vehículo tras descargar la actualización y “no todos los usuarios lo harán”. Esto quiere decir que seguirán circulando por las calles patinetes susceptibles de ser hackeados de forma remota, sobre todo ahora que ha salido a la luz este problema de seguridad.
Pero tal vez esta no sea la parte más sorprendente de la noticia y es que se sospecha que esta vulnerabilidad habría sido aprovechada desde el año 2017, cuando esta brecha era ya aprovechada para instalar firmwares caseros que incrementaban la potencia en pendientes o la velocidad punta. “Era cuestión de tiempo que alguien decidiera dar el salto y crear un software capaz de interceptarlos según pasan”, confirma Alex Barredo, desde Mixxio.
¿Qué se puede hacer de momento para evitar que nuestro patín sea ‘atacado’? Se recomienda vincular el patinete al móvil mediante Bluetooth ya que esta conexión evitará que otro móvil se conecte; otro parche podría ser cambiar la identificación Bluetooth del patinete y personalizar el nombre para confundir al potencial atacante.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.