Breaking
Atef Najib enfrenta al menos diez cargos en un juicio histórico en SiriaEl sector olivarero de Nueva Zelanda mantiene la confianza tras el cierre de un productor en WairarapaChina dicta penas de muerte suspendidas contra exministros de DefensaSudáfrica denuncia videos 'falsos' sobre xenofobia mientras Ghana pide una misión de la UAAtef Najib enfrenta al menos diez cargos en un juicio histórico en SiriaEl sector olivarero de Nueva Zelanda mantiene la confianza tras el cierre de un productor en WairarapaChina dicta penas de muerte suspendidas contra exministros de DefensaSudáfrica denuncia videos 'falsos' sobre xenofobia mientras Ghana pide una misión de la UA
Vesper
ENESFRTR
Iniciar sesiónRegistrarse
Gráficos
Artículos:DeportesSaludHistoriaTecnología
Markets
EUR/USD1.1773 0.11%GBP/USD1.3616 0.04%USD/JPY156.66 0.07%USD/CHF0.7774 0.14%AUD/USD0.7243 0.13%USD/CAD1.3669 0.08%USD/CNY6.8159 0.22%USD/INR94.48 0.01%USD/BRL4.9175 0.07%USD/ZAR16.39 0.20%USD/TRY45.37 0.01%Gold$4,715.70BTC$81,063 0.70%ETH$2,340 1.12%SOL$94.49 1.79%
Tecnología

Yarbo publica un plan de seguridad de 1.200 palabras tras la demostración del hackeo de sus robocortacéspedes

The Vergehace 8 h
ShareXWhatsAppTelegramLinkedIn
Robocortacésped sobre el césped de un jardín
Photo: Magic K / Pexels

El fabricante chino de robocortacéspedes Yarbo ha publicado una respuesta de 1.200 palabras reconociendo graves fallos de seguridad en sus dispositivos, tras un artículo aparecido la semana pasada en The Verge en el que un investigador de seguridad demostró que las máquinas podían ser secuestradas, exponiendo datos de los usuarios — coordenadas GPS, contraseñas Wi-Fi, direcciones de correo — y las propias máquinas. La empresa reconoce las vulnerabilidades, ha desactivado temporalmente el acceso remoto y presenta un plan permanente de subsanación.

La investigación de seguridad fue realizada por el investigador independiente Mike Walters. Walters mostró que podía controlar cualquier robocortacésped Yarbo del que no fuera propietario conociendo solamente los últimos seis caracteres de la dirección MAC del dispositivo y los primeros cuatro dígitos de su número de serie. Ambos datos son visibles en una pequeña etiqueta presente en cada unidad Yarbo y también pueden obtenerse de forma remota mediante una búsqueda de distribuidor Yarbo. Walters usó la vulnerabilidad para demostrar el ataque: tomó el control de un robot, lo paseó por el jardín de su propietario e incluso lo hizo pasar sobre el camino de un reportero de The Verge.

El comunicado de Yarbo dice: «Hemos verificado a fondo los hallazgos de Mike Walters. Las vulnerabilidades que describe existían exactamente como las describe — nuestro sistema de acceso remoto no utilizaba las capas de seguridad suficientes para la autenticación de clientes». La empresa agradeció formalmente a Walters por sus hallazgos y anunció que un programa independiente de recompensas en investigación de seguridad de 5.000 dólares se lanzará en los próximos meses.

La gravedad de los fallos se amplifica por el hecho de que los robocortacéspedes pueden ser físicamente peligrosos. Los modelos L20 y L25 de Yarbo tienen el tamaño de un perro mediano — unos 25 kg — y están equipados con cuchillas giratorias afiladas. Un atacante podría dirigirlos hacia una propiedad vecina en lugar de la del propietario; pueden representar un peligro para personas, mascotas o niños pequeños. Que el reportero se mantuviera en la trayectoria del cortacésped durante la demostración de Walters sirvió como una advertencia completa de ese riesgo físico.

El plan anunciado por Yarbo tiene cinco componentes principales. Primero, el acceso remoto se ha desactivado por completo de forma temporal; los dispositivos en propiedad funcionan actualmente solo en Wi-Fi local, con un nuevo protocolo de autenticación encima. Eso significa que los clientes pierden funcionalidades significativas de la aplicación — por ejemplo, el control remoto durante las vacaciones — pero Yarbo afirma preferir esa pérdida hasta completar la corrección.

Segundo, la autenticación basada en la combinación de dirección MAC y número de serie se ha eliminado por completo y se ha sustituido por un sistema cifrado de extremo a extremo basado en claves de un solo uso. Tercero, se está enviando una actualización de firmware obligatoria a todos los dispositivos existentes; esta actualización también corrige otras siete vulnerabilidades de seguridad que Yarbo ha divulgado por separado. Cuarto, la infraestructura en la nube de Yarbo se está rediseñando por completo; el bucket de almacenamiento expuesto que descubrió Walters se ha eliminado y la nueva arquitectura está siendo auditada por los revisores de seguridad dedicados de AWS.

Quinto, Yarbo nombrará en los próximos meses una empresa externa de auditoría de seguridad — probablemente Bishop Fox o Trail of Bits — y compartirá los resultados públicamente. Eso sienta un precedente para otros fabricantes de robocortacéspedes (Robomow, Worx, Husqvarna, Toro); porque, aunque la investigación de Walters era específica de Yarbo, mostró que la calidad de seguridad del sector está lista para un examen más detallado.

Una nota que ha llamado la atención de los investigadores de seguridad: la arquitectura de las vulnerabilidades de Yarbo encaja con los arquetipos clásicos de fallos IoT (Internet de las cosas). «Usar credenciales de autenticación estáticas — es decir, la verificación de identidad a través de identificadores estáticos como las direcciones MAC — es un fallo de diseño identificado en dispositivos IoT desde principios de la década de 2010», dijo el profesor Daniel Weitzner, del Internet Policy Research Initiative del MIT. «Que Yarbo lo siga haciendo en 2026 indica que el sector aún no ha integrado adecuadamente los fundamentos de la seguridad».

El marco regulatorio estadounidense para los dispositivos IoT físicamente peligrosos (robocortacéspedes, robots aspiradores, cerraduras inteligentes) está en desarrollo. El programa «US Cyber Trust Mark», gestionado por el Consumer Technology Institute (CTIA), se lanzó a finales de 2025; es un sistema de etiquetado voluntario que indica que los dispositivos cumplen con normas de seguridad básicas. Yarbo no había solicitado la etiqueta. Tras la investigación de Walters, Yarbo anunció que solicitaría participar en el programa y aspiraría a obtener la etiqueta antes de finales de 2026.

El impacto financiero sobre Yarbo todavía no está claro. La empresa no cotiza en bolsa y exporta al mercado estadounidense desde su sede en China. Se han vendido cerca de 12.000 dispositivos en Estados Unidos; esas unidades están recibiendo en este momento la actualización obligatoria del firmware. Según el reportero de The Verge, los volúmenes de pedido del distribuidor estadounidense de Yarbo han caído un 35 % en las últimas semanas. La empresa cerró su comunicado: «Haremos todo lo posible para recuperar la confianza de nuestros clientes. Las vulnerabilidades son un error instructivo para nosotros y una advertencia para el resto del sector».

Este artículo es un resumen editorial asistido por IA basado en The Verge. La imagen es una foto de archivo de Magic K en Pexels.