Investigadores de ciberseguridad de la empresa alemana thinkAwesome GmbH han descubierto una vulnerabilidad crítica en los robots Unitree Go1, ampliamente utilizados en entornos académicos y militares. La falla de seguridad permite el acceso remoto no autorizado a través de un servicio túnel preinstalado, exponiendo miles de dispositivos a posibles ataques.
Análisis técnico de la vulnerabilidad
La investigación revela que estos robots operan sobre una plataforma Raspberry Pi que ejecuta automáticamente CloudSail (Zhexi), un servicio túnel propietario diseñado para el mercado chino. Este servicio, que se activa al conectarse a Internet, facilita la conexión remota atravesando NAT. La vulnerabilidad radica en la existencia de credenciales predeterminadas (pi/123) y una clave API expuesta, permitiendo a atacantes tomar control total del dispositivo, incluyendo acceso a cámaras y funciones de movimiento.
Impacto global y sectores afectados
El equipo de investigación ha identificado 1,919 dispositivos potencialmente vulnerables distribuidos globalmente. La situación es particularmente preocupante en instituciones académicas de Estados Unidos, Canadá, Alemania, Nueva Zelanda, Australia y Japón, donde estos robots se utilizan en investigación y desarrollo. La presencia de estos dispositivos comprometidos en entornos sensibles como operaciones de búsqueda y rescate amplifica significativamente los riesgos de seguridad.
Medidas de mitigación y recomendaciones
Los expertos en ciberseguridad recomiendan a los propietarios de Unitree Go1 implementar inmediatamente las siguientes medidas de seguridad:
– Desconectar los dispositivos de redes públicas
– Realizar auditorías exhaustivas de logs del sistema
– Modificar todas las credenciales predeterminadas
– Implementar segmentación de red para aislar los dispositivos
Este incidente subraya la importancia crítica de realizar evaluaciones de seguridad rigurosas en sistemas robóticos antes de su implementación en entornos sensibles. Aunque los investigadores sugieren que esta vulnerabilidad podría ser resultado de prácticas deficientes de control de calidad más que una inserción intencional de código malicioso, el caso destaca la necesidad urgente de establecer estándares más estrictos de ciberseguridad en el campo de la robótica. La posible presencia de vulnerabilidades similares en el nuevo modelo Go2 requiere atención inmediata por parte de la comunidad de seguridad.
