Actualizado 04/02/2019 14:34 CET

Las bombillas inteligentes de Xiaomi y otras dos marcas exponen la clave de la red WiFi al desecharse

Bombilla Yeelight de Xiaomi
AMAZON

   MADRID, 31 Ene. (Portaltic/EP) -

   Varios modelos de bombillas inteligentes conectadas a Internet por WiFi, desarrolladas por Xiaomi y otros dos fabricantes distintos, exponen la clave de las redes domésticas una vez se desechan, debido a la presencia de varias vulnerabilidades.

   El blog de ciberseguridad Limited Results ha denunciado la escasa protección que ofrecen estos dispositivos, y ha replicado vulnerabilidades que exponen la contraseña de la red WiFi en bombillas de Xiaomi y también de las marcas estadounidenses Tuya y LIFX.

   Las bombillas inteligentes son dispositivos pertenecientes al ecosistema del Internet de las Cosas, con la posibilidad de controlarlas a través de aplicaciones de dispositivos móviles o de asistentes inteligentes como Amazon Alexa o Google Assistant, mediante su conexión a la red WiFi.

   Al tirarlas, según Limited Solutions, el 'hardware' y el 'firmware' -es decir, el 'software' instalado de fábrica por el fabricante- que incorporan sigue conteniendo la contraseña de la red doméstica del usuario. En ocasiones, esta información está incluso almacenada en texto natural, sin ningún encriptado.

   Es el caso del modelo de bombilla inteligente Yeelight de Xiaomi, que se vende actualmente por un precio de 24 euros. Además, el 'firmware' del dispositivo consta de otra vulnerabilidad con la que, mediante el uso de la interfaz de arquitectura de acceso de puertos JTAG, permite a un atacante hacerse con su control.

   Lo mismo sucede con LIFX Mini White, una bombilla inteligente de la estadounidense LIFX, en la que a través de un proceso de desmontado resultó posible reproducir dos vulnerabilidades según las cuales la contraseña de la red WiFi se almacena en texto natural y también pueden obtener la ID del dispositivo y su clave local.

   Limited Solutions ha denunciado que este tipo de dispositivos se encuentra "completamente abierto", y ha detectado problemas similares con los modelos de bombillas LYASI, fabricado por Tuya, y el dispositivo similar Fcmila. Las compañías ya han sido informadas de los problemas, según el autor, y en el caso de Xiaomi habría reconocido la vulnerabilidad.

  En concreto, Xiaomi ha explicado en un comunicado remitido a Europa Press que "los atacantes deberían conseguir acceso físico a la bombilla" para que quede expuesta a los riesgos mencionados. "La posibilidad de un atacante aprovechándose de esto es extremandamente pequeña (y muy difícil) comparado con las vulnerabilidades en redes que pueden ejecutarse de forma remota".

  Para garantizar la seguridad, la compañía ha asegurado que va a distribuir pronto una actualización mediante OTA que "añadirá encriptación al identificador de paquetes de servicio (SSID) del usuario y a las contraseñas almacenanas en la bombilla Mi LED Smart, y desactivará el puerto JTAG".