Redazione RHC : 28 septiembre 2025 18:12
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de dispositivos al control remoto y al uso malicioso.
Según IEEE Spectrum , publicado el jueves 25 de septiembre, investigadores descubrieron una falla crítica en el sistema Bluetooth de baja energía (BLE) utilizado por los robots de la compañía para la configuración inicial de la red Wi-Fi. Esta vulnerabilidad permitiría a un atacante obtener privilegios de root en el sistema operativo Android de los dispositivos, obteniendo así control total sobre ellos.
El investigador de seguridad Andreas Makris explicó que una vez que un robot se ve comprometido, la infección puede propagarse automáticamente a otros dispositivos Yushu dentro del alcance de Bluetooth, convirtiéndolos en una botnet capaz de replicarse sin intervención humana.
El mecanismo de autenticación parece particularmente frágil: los robots de Unitree permiten el acceso simplemente cifrando una cadena de código duro, «unitree». Esto permite a un atacante insertar código arbitrario camuflado como el SSID y la contraseña de la red wifi. Cuando el robot intenta conectarse, el código se ejecuta con privilegios de administrador, sin verificación adicional.
Makris añadió que una vulnerabilidad de este tipo podría incluso impedir que los usuarios actualicen su firmware, dejando los dispositivos permanentemente vulnerables y abriendo la puerta a una toma de control masiva. Entre los modelos afectados se incluyen los perros robot cuadrúpedos Go2 y B2, y los robots humanoides G1 y H1 . Esta es la primera vez que se divulga públicamente una falla de esta magnitud en una plataforma comercial de robótica humanoide.
Los investigadores contactaron con Unitree Robotics en mayo de 2025, pero tras varios intentos fallidos de comunicación, la empresa dejó de responder en julio del año pasado. La falta de cooperación motivó la divulgación pública de la vulnerabilidad. Makris también señaló que había identificado previamente una puerta trasera en el modelo Yushu Go1, lo que plantea dudas sobre el origen de estas fallas: si son resultado de un desarrollo negligente o de implementaciones intencionales.
Otro informe provino de Victor Mayoral-Vilches , fundador de Alias Robotics, quien afirmó que los robots Yushu envían datos de telemetría a servidores chinos, que podrían incluir audio, video e información espacial . Mayoral-Vilches destacó que estos dispositivos se utilizan ampliamente a nivel mundial, pero muchos usuarios desconocen los riesgos asociados . A la espera de respuestas oficiales, el experto aconseja a los usuarios conectar los robots únicamente a redes wifi aisladas y desactivar la conectividad Bluetooth como medida de protección inmediata.
Las preocupaciones no se limitan a asuntos personales. En agosto de 2025, la ciudad de Taipéi implementó el modelo Go2 para patrullaje urbano, lo que planteó dudas sobre la seguridad de los datos. El 5 de mayo de 2025, el Comité Especial de Competencia Estratégica con China de la Cámara de Representantes de EE. UU. envió una carta al Secretario de Defensa, al Secretario de Comercio y al Presidente de la Comisión Federal de Comunicaciones, advirtiendo que Yushu «representa una amenaza creciente para la seguridad nacional».
Según informes, los robots de la compañía ya se han desplegado en entornos sensibles como prisiones, fuerzas policiales y bases militares estadounidenses. La presencia de puertas traseras y la posibilidad de vigilancia remota han llevado a algunos observadores a llamarlos «caballos de Troya con cámaras».
Hasta la fecha, Unitree Robotics no ha publicado ningún comentario oficial.
RedazioneEl 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
¿Alguna vez te han dicho que si encuentras una memoria USB en el suelo, no la conectes a tu ordenador? Hoy te explicaremos por qué no deberías hacerlo mediante una prueba de concepto (PoC). En esta...
El Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
