Los robots de restaurante hackeables podrían servir sushi… en la casa del atacante.

Redazione RHC : 6 septiembre 2025 09:20

Un especialista en seguridad independiente, conocido como BobDaHacker, descubrió fallas de seguridad en Pudu Robotics (el proveedor líder mundial de robots de servicios comerciales). Las vulnerabilidades permitieron a los atacantes redirigir los robots a cualquier ubicación y obligarlos a ejecutar comandos arbitrarios.

Pudu Robotics es una empresa china que fabrica robots que realizan tareas que van desde servir comida en restaurantes con BellaBot hasta operar sistemas diseñados por humanos, como ascensores, con FlashBot. Según Frost & Sullivan, la compañía tuvo una participación de mercado del 23% en estos dispositivos el año pasado.

BobDaHacker descubrió que podía acceder al software de control de bots porque el acceso administrativo no estaba bloqueado. Para llevar a cabo este ataque, el atacante necesitaba un token de autorización válido, que podía obtenerse mediante secuencias de comandos entre sitios o simplemente creando una cuenta de prueba diseñada para probar los bots antes de comprarlos.

Tras la autenticación inicial, no se realizaron más comprobaciones de seguridad, lo que permitía a cualquiera modificar pedidos, mover los bots a nuevas ubicaciones y renombrarlos para dificultar su recuperación tras un ataque.

En otras palabras, el atacante pudo redirigir la comida solicitada a destinos arbitrarios o incluso desactivar toda la flota de robots del restaurante. El investigador también señala que los atacantes podrían obligar a FlashBot a dañar los sistemas de la oficina o robar propiedad intelectual.

Cuando el investigador intentó contactar con los representantes de Pudu Robotics para informarles del problema, no recibió respuesta. Así pues, el 12 de agosto, BobDaHacker envió los primeros correos electrónicos, pero los departamentos de soporte técnico, soporte técnico y ventas no respondieron. Tras esperar hasta el 21 de agosto, el especialista volvió a enviar nuevos correos electrónicos, contactando a más de 50 empleados de la empresa con la intención de llamar la atención de alguien.

Al no recibir respuesta, el investigador contactó a los clientes de los restaurantes de Pudu Robotics; las cadenas japonesas de restaurantes Skylark Holdings y Zensho se tomaron en serio las advertencias.

Aproximadamente 48 horas después de que BobDaHacker contactara a los clientes, Pudu Robotics finalmente respondió a su correo electrónico. Sin embargo, el experto escribió que la respuesta claramente había sido escrita por ChatGPT. «Ni siquiera se molestaron en eliminar el marcador de posición en la plantilla ChatGPT. Es un esfuerzo increíble», afirmó el experto.

La empresa agradeció al especialista por descubrir las vulnerabilidades con el siguiente mensaje: «Gracias por su valiosa contribución a nuestra seguridad. Si desea compartir más detalles o tiene alguna pregunta, no dude en contactarme directamente», escribió el representante de la empresa.

Sin embargo, Pudu Robotics ya ha corregido las vulnerabilidades descubiertas por el investigador y ha asegurado sus sistemas.

El 3 de septiembre, BobDaHacker actualizó su publicación e informó que, al parecer, la empresa… No había ignorado sus mensajes. Los correos electrónicos iniciales no llegaron a sus destinatarios, pero posteriormente se recibió un informe de los problemas por otros canales. Posteriormente, los desarrolladores comenzaron a trabajar en una solución, pero la empresa solo contactó al investigador cuando la solución estuvo lista para implementarse.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli