Cedecasa

El Conga de Cecotec enviaba el mapeado de tu casa a un servidor de Alibaba en EEUU.

Enviaba también las credenciales de acceso. Muy sencillas, por otro lado: admin/admin.

Ya hemos informado en MARKET VISION de la preocupación que existe en el mundo informático sobre la seguridad y privacidad del Internet de las Cosas (IOT, internet of things, en inglés); así como de la vulnerabilidad de los dispositivos conectados, no en vano un célebre ataque de denegación de servicio en 2016 se hizo, según se cree, apoderándose de electrodomésticos «zombies», convenientemente hackeados por los asaltantes (y eso que, en aquella fecha, eran pocos los dispositivos no informáticos conectados a internet).

Esa es probablemente la razón de que Joan Massaner, informático socio de la empresa de ciberseguridad W2Connect, haya instalado en su red wifi doméstica varias restricciones relacionadas con ese tipo de dispositivos. Así pudo detectar, con sorpresa, que el robot aspirador Conga, distribuido con marca Cecotec, hacía frecuentes conexiones online con un servidor situado en los EEUU, por un canal sin cifrar, mediante FTP (protocolo de transferencia de ficheros).

Para averiguar qué enviaba, interpuso un servidor propio (estas cosas sólo las pueden hacer verdaderos expertos) y cazó los ficheros al vuelo, por así decirlo. Estos eran relativos al mapeado de las estancias que el aspirador limpia, así como al comportamiento de circulación del aparato por el hogar, choques, desestabilizaciones, etc. Massaner habló con compañeros de la asociación NoConName, radicada en Baleares y organizadora del congreso de hackers del mismo nombre, y ellos averiguaron que el servidor estadounidense receptor de los ficheros enviados por su robot aspirador era (es) del gigante chino de comercio electrónico Alibaba. Para más descontrol, el envío de ficheros transmitía también el nombre de usuario y la contraseña de acceso, que eran, por otro lado, la mar de sencillos: usuario = admin, contraseña = admin.

Todo esto fue desvelado la semana pasada en la cuenta de NoConName en Twitter, y este fin de semana lo publicaba el diario en catalán Ara.

Los redactores del mismo contactaron con Cecotec, quienes afirmaron que desconocían el problema de privacidad y que lo arreglarían de inmediato. Al parecer, Cecotec ha cerrado, en efecto, la conexión con el servidor conflictivo.

Nadie sabe (excepto, se supone, los fabricantes) para qué se utilizaba la información, aunque se especula que puede facilitar datos de tamaño y situación de los hogares, de utilidad en estudios de márketing. Como se sabe, Cecotec no fabrica los aspiradores-robot Conga. Se sospecha que pudieran ser producidos por Xiaomi, o por alguien que fabrica los robots de esta última… o que sabe copiarlos muy bien.

El consultor informático José Nicolás Castellano ha recordado a Ara que, desde una sentencia del Tribunal de Justicia de la Unión Europea de la pasada semana, enviar datos personales de ciudadanos de la UE a servidores en los EEUU es ilegal, ya que ese país no garantiza la privacidad conforme a las normas europeas.

[Por cierto, añadimos: que el servidor sea de Alibaba puede ser relevante… o no. Si fuera de su rival Amazon, nadie pensaría mal, puesto que todo el mundo sabe que tiene una división de servicios en la web, como un hospedaje cualquiera. Pero ya se sabe que, con ciertas empresas chinas, siempre surgen dudas sobre el destinatario final de la información].