Xiaomi reconoce que sus patinetes pueden ser controlados de forma remota

La firma Zimperium, a trav¨¦s de su blog, dio a conocer el pasado martes un grave problema de seguridad que afectaba a los populares patinetes el¨¦ctricos de Xiaomi. Esta vulnerabilidad permit¨ªa que cualquier hacker de forma remota y empleando la conexi¨®n inal¨¢mbrica Bluetooth pudiera acceder al veh¨ªculo, bloquearlo, modificar sus par¨¢metros o incluso aumentar al m¨¢ximo su velocidad sin que el usuario interviniera ni fuera consciente de ello. El fabricante ha reconocido la existencia de esta brecha de seguridad y hasta que la solucione, mediante una actualizaci¨®n del firmware, recomienda no utilizar aplicaciones de terceros.

En un v¨ªdeo grabado como prueba, Zimperium deja poco lugar a las interpretaciones: el presunto hacker se coloca en un sem¨¢foro y ¡®ataca¡¯ a su v¨ªctima desde el m¨®vil a una distancia de unos cinco metros inutilizando por completo su patinete el¨¦ctrico. Los responsables de esta simulaci¨®n advierten que, de la misma manera que han podido bloquear el patinete, podr¨ªan haberlo acelerado al m¨¢ximo justo en el momento en que el usuario esperaba al sem¨¢foro en verde pudiendo provocar un accidente con consecuencias dram¨¢ticas.

¡°Es un error incre¨ªble por parte de Xiaomi¡±, explica a EL PA?S Fernando Su¨¢rez, vicepresidente del Consejo de Colegios de Ingenier¨ªa Inform¨¢tica y usuario ¨¦l mismo de uno de los patinetes afectados; ¡°el fabricante se ha olvidado de proteger mediante contrase?a el patinete¡±. Lo peor del asunto es que, hasta que el fabricante no distribuya la actualizaci¨®n que enmiende el problema, todos los patinetes son susceptibles de ser atacados. Con todo, Su¨¢rez relativiza la posibilidad de sufrir un hackeo: ¡°Con el patinete est¨¢s casi siempre en movimiento y el Bluetooth tiene un alcance limitado¡±, explica en referencia a que son pocas las posibilidades reales de sufrir un ataque.

?Solucionar¨¢ la actualizaci¨®n este grave problema de seguridad? Desde luego, pero este experto advierte que ¡°no ser¨¢ f¨¢cil que todos los usuarios actualicen; no es como actualizar un m¨®vil¡±, ya que ser¨¢ necesario conectarse al veh¨ªculo tras descargar la actualizaci¨®n y ¡°no todos los usuarios lo har¨¢n¡±. Esto quiere decir que seguir¨¢n circulando por las calles patinetes susceptibles de ser hackeados de forma remota, sobre todo ahora que ha salido a la luz este problema de seguridad.

Pero tal vez esta no sea la parte m¨¢s sorprendente de la noticia y es que se sospecha que esta vulnerabilidad habr¨ªa sido aprovechada desde el a?o 2017, cuando esta brecha era ya aprovechada para instalar firmwares caseros que incrementaban la potencia en pendientes o la velocidad punta. ¡°Era cuesti¨®n de tiempo que alguien decidiera dar el salto y crear un software capaz de interceptarlos seg¨²n pasan¡±, confirma Alex Barredo, desde Mixxio.

?Qu¨¦ se puede hacer de momento para evitar que nuestro pat¨ªn sea ¡®atacado¡¯? Se recomienda vincular el patinete al m¨®vil mediante Bluetooth ya que esta conexi¨®n evitar¨¢ que otro m¨®vil se conecte; otro parche podr¨ªa ser cambiar la identificaci¨®n Bluetooth del patinete y personalizar el nombre para confundir al potencial atacante.