Captura: Zimperium (YouTube)

La gente sigue teniendo accidentes con los patinetes eléctricos. Algunos circulan ilegalmente por las aceras, otros viajan con alguien más en el vehículo, infringen las normas de tráfico, los usan menores de edad y casi nadie usa casco. Pero ahora existe una nueva razón para que te lo pienses dos veces antes de subirte a uno de esos cacharros de dos ruedas, y no tiene nada que ver con tu continuo desprecio por la seguridad vial: los hackers.

Este martes, la firma de seguridad Zimperium public√≥ un informe que detalla una serie de fallos de seguridad del patinete el√©ctrico M365 de Xiaomi, que lo hacen susceptible de ser hackeado. M√°s concretamente, Zimperium descubri√≥ que estos patinetes el√©ctricos tienen una contrase√Īa Bluetooth para acceder a sus funciones, pero ‚Äúla contrase√Īa no se usa correctamente como parte del proceso de autenticaci√≥n del patinete, y todos los comandos se pueden ejecutar sin esa contrase√Īa‚ÄĚ. Un hacker podr√≠a bloquear cualquier patinete el√©ctrico M365 con un ataque de denegaci√≥n de servicio, implementar malware para controlar por completo el patinete y hacer que acelere o frene de forma remota.

Los investigadores pudieron controlar uno desde una distancia de 100 metros, y publicaron un vídeo en YouTube que muestra su aplicación en el mundo real.

En el v√≠deo, un ‚Äúhacker‚ÄĚ apunta a un individuo que se encuentra en un cruce de peatones, causando que el patinete frene de forma remota. En la descripci√≥n del v√≠deo, los investigadores escribieron que usaron un malware para encontrar patinetes M365 cercanos y luego deshabilitaron el patinete a trav√©s de su funci√≥n antirrobo ‚Äúsin usar ninguna autenticaci√≥n o consentimiento del usuario‚ÄĚ.

Advertisement

Zimperium dijo en su informe que alert√≥ a Xiaomi sobre estos fallos de seguridad, pero que a√ļn no lo han resuelto. ‚ÄúDesafortunadamente, la seguridad de los patinetes a√ļn debe ser actualizada por Xiaomi (o por cualquier tercero con el que trabajen) y no puede ser f√°cilmente arreglada por el usuario‚ÄĚ, escribi√≥ uno de los investigadores. Un portavoz de Xiaomi le dijo a The Verge que estaban investigando este problema.

Existe la posibilidad de que los patinetes de Xiaomi sean tambi√©n usados ‚Äč‚Äčpor otras marcas o vendidos bajo otros nombres y que tengan tambi√©n estas mismas vulnerabilidades, seg√ļn los propios investigadores.

‚ÄúPodr√≠a afectar a cualquier compa√Ī√≠a que utilice patinetes Xiaomi y que no haya deshabilitado o reemplazado el m√≥dulo bluetooth de Xiaomi‚ÄĚ, dijo a The Verge Rani Idan, investigador de seguridad de Zimperium. ‚ÄúAdem√°s, los patinetes de Xiaomi son vendidos con diferentes nombres, as√≠ que muchos m√°s podr√≠an verse afectados‚ÄĚ.

Advertisement

Bird, una de las principales compa√Ī√≠as de patinetes el√©ctricos de los Estados Unidos, le dijo a Verge que los suyos no se hab√≠an afectados por el fallo de seguridad detallado en el informe de Zimperium. Y Lime, la otra compa√Ī√≠a l√≠der en este sector, dijo que no tienen ning√ļn patinete M365 en funcionamiento.

Como se√Īal√≥ Idan, a√ļn no est√° claro si otras compa√Ī√≠as podr√≠an tener patinetes afectados y si a√ļn siguien siendo susceptibles a este posible ataque. M√°s de uno ya tiene que hacer una visita al hospital despu√©s de alg√ļn error humano, por lo que ser√° mejor si evitamos sumarle m√°s riesgos a√Īadidos.

Actualización al 14 de febrero de 2019

Xiaomi ha enviando un correo a Gizmodo en Espa√Īol explicando que el fallo de seguridad ser√° solucionado mediante una actualizaci√≥n de seguridad que llegar√° el 15 de marzo como muy tarde. Este es el comunicado oficial de la compa√Ī√≠a.

Xiaomi es consciente de la vulnerabilidad que hackers con intenciones maliciosas pueden explotar para controlar el Mi Electric Scooter. Tan pronto como nos enteramos de esta vulnerabilidad, hemos estado trabajando para solucionarlo y eliminar todas las aplicaciones no autorizadas. Una actualización de OTA estará disponible a más tardar el 15 de marzo. Xiaomi valora los comentarios de la comunidad de seguridad, y estamos comprometidos a mejorar constantemente en base a todos los comentarios para construir productos mejores y más seguros.