Es posible que los haya visto en restaurantes, robots con cara de gato que se deslizan entre mesas, entregando platos de comida. Estos robots, muchos de ellos fabricados por Pudu Robotics, la compañía de robótica de servicios comerciales más grandes del mundo, forman parte de una flota creciente de ayudantes automatizados en nuestra vida diaria.
Desde el conocido Bellabot hasta los robots de limpieza y desinfección, las máquinas de Pudu operan en restaurantes, hospitales, hoteles y oficinas en todo el mundo, atendiendo a millones de personas. Pero un descubrimiento reciente reveló una vulnerabilidad sorprendente: estos robots podrían ser controlados por cualquier persona con un poco de conocimiento técnico.
El investigador de ciberseguridad “Bobdahahacker” descubrió que las API de gestión de robots de Pudu tenían un defecto crítico: carecían de controles de autenticación adecuados.
Si bien se requería un token de autenticación válido, el sistema no pudo verificar si el usuario tenía los permisos necesarios para controlar los robots. Esta supervisión significaba que prácticamente cualquier robot Pudu, ya sea un bellabot en un restaurante o un bote de flash en una oficina corporativa, estaba expuesto.
Las vulnerabilidades permitieron a los usuarios no autorizados:
Ver el historial de llamadas de cualquier robot. Cree nuevas tareas y controle robots que no tenían. Actualice la configuración del robot, incluidos sus nombres y comportamientos. Enumere todos los robots asociados con cualquier tienda a nivel mundial.
El potencial de mal uso era vasto y alarmante. En un restaurante, un hacker podría redirigir a un bellabot para entregar comida a su propia mesa en lugar de la correcta, cancelar todas las tareas de robot durante un servicio de cena ocupado o crear el caos haciendo que los robots circulen en el comedor tocando música.
Configuración de robots
Las implicaciones se extendieron mucho más allá de los restaurantes. El flashbot de Pudu, equipado con brazos y la capacidad de usar ascensores, podría controlarse de forma remota para acceder a documentos confidenciales en una oficina, navegar a un piso diferente y entregarlos a un individuo no autorizado.
En un escenario más disruptivo, un atacante podría tener una flota completa de robots como rehén, exigiendo un rescate para restaurar las operaciones normales. El atacante incluso podría mostrar un código QR para el pago de las pantallas de los robots.
Los riesgos fueron particularmente preocupantes en los entornos de atención médica. Los robots Pudu se utilizan en hospitales para entregar medicina y para la limpieza y desinfección.
Un actor malicioso podría redirigir las entregas de medicamentos, enviar robots de limpieza a salas de operaciones estériles o robots de desinfección de programas para omitir áreas críticas, lo que representa una amenaza directa para la seguridad del paciente.
Después de descubrir estos defectos, el investigador intentó informarlos a Pudu Robotics el 12 de agosto. Los correos electrónicos a los equipos de ventas, soporte y tecnología de la compañía no fueron respondidos.
Un correo electrónico de seguimiento a más de 50 miembros del personal el 21 de agosto tampoco recibió respuesta. Durante semanas, las vulnerabilidades permanecieron sin abordar mientras los robots continuaron operando en entornos sensibles.
Frustrado por la falta de respuesta, el investigador tomó Lo que llamaron la “opción nuclear”. Se pusieron en contacto con algunos de los clientes más grandes de Pudu, incluidos Skylark Holdings, que opera más de 7,000 restaurantes en Japón, y Zensho, otro importante operador de la cadena de restaurantes. El investigador explicó que cualquiera podría controlar los robots en sus instalaciones.
Dentro de las 48 horas posteriores a la notificación de estos clientes, Pudu Robotics respondió, aparentemente generado por una IA, agradeciendo al investigador su “divulgación responsable” y afirmando que su equipo de seguridad había “investigado rápidamente el problema”.
La respuesta incluso incluyó un marcador de posición para la dirección de correo electrónico del remitente, lo que sugiere una respuesta apresurada y plantada. Dos días después, se solucionaron todas las vulnerabilidades reportadas.
A medida que estos robots se integran más en nuestras vidas, operando en las poblaciones vulnerables en hospitales, escuelas y una variedad de espacios públicos, asegurando que su seguridad no sea solo una necesidad técnica sino una responsabilidad fundamental.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
