Redazione RHC : 6 septiembre 2025 09:20
Un especialista en seguridad independiente, conocido como BobDaHacker, descubrió fallas de seguridad en Pudu Robotics (el proveedor líder mundial de robots de servicios comerciales). Las vulnerabilidades permitieron a los atacantes redirigir los robots a cualquier ubicación y obligarlos a ejecutar comandos arbitrarios.
Pudu Robotics es una empresa china que fabrica robots que realizan tareas que van desde servir comida en restaurantes con BellaBot hasta operar sistemas diseñados por humanos, como ascensores, con FlashBot. Según Frost & Sullivan, la compañía tuvo una participación de mercado del 23% en estos dispositivos el año pasado.
BobDaHacker descubrió que podía acceder al software de control de bots porque el acceso administrativo no estaba bloqueado. Para llevar a cabo este ataque, el atacante necesitaba un token de autorización válido, que podía obtenerse mediante secuencias de comandos entre sitios o simplemente creando una cuenta de prueba diseñada para probar los bots antes de comprarlos.
Tras la autenticación inicial, no se realizaron más comprobaciones de seguridad, lo que permitía a cualquiera modificar pedidos, mover los bots a nuevas ubicaciones y renombrarlos para dificultar su recuperación tras un ataque.
En otras palabras, el atacante pudo redirigir la comida solicitada a destinos arbitrarios o incluso desactivar toda la flota de robots del restaurante. El investigador también señala que los atacantes podrían obligar a FlashBot a dañar los sistemas de la oficina o robar propiedad intelectual.
Cuando el investigador intentó contactar con los representantes de Pudu Robotics para informarles del problema, no recibió respuesta. Así pues, el 12 de agosto, BobDaHacker envió los primeros correos electrónicos, pero los departamentos de soporte técnico, soporte técnico y ventas no respondieron. Tras esperar hasta el 21 de agosto, el especialista volvió a enviar nuevos correos electrónicos, contactando a más de 50 empleados de la empresa con la intención de llamar la atención de alguien.
Al no recibir respuesta, el investigador contactó a los clientes de los restaurantes de Pudu Robotics; las cadenas japonesas de restaurantes Skylark Holdings y Zensho se tomaron en serio las advertencias.
Aproximadamente 48 horas después de que BobDaHacker contactara a los clientes, Pudu Robotics finalmente respondió a su correo electrónico. Sin embargo, el experto escribió que la respuesta claramente había sido escrita por ChatGPT. «Ni siquiera se molestaron en eliminar el marcador de posición en la plantilla ChatGPT. Es un esfuerzo increíble», afirmó el experto.
La empresa agradeció al especialista por descubrir las vulnerabilidades con el siguiente mensaje: «Gracias por su valiosa contribución a nuestra seguridad. Si desea compartir más detalles o tiene alguna pregunta, no dude en contactarme directamente», escribió el representante de la empresa.
Sin embargo, Pudu Robotics ya ha corregido las vulnerabilidades descubiertas por el investigador y ha asegurado sus sistemas.
El 3 de septiembre, BobDaHacker actualizó su publicación e informó que, al parecer, la empresa… No había ignorado sus mensajes. Los correos electrónicos iniciales no llegaron a sus destinatarios, pero posteriormente se recibió un informe de los problemas por otros canales. Posteriormente, los desarrolladores comenzaron a trabajar en una solución, pero la empresa solo contactó al investigador cuando la solución estuvo lista para implementarse.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
