Una investigación reciente de un experto en ciberseguridad, conocido como BobDaHacker, ha revelado una grave vulnerabilidad en las API de gestión de Pudu Robotics, el mayor fabricante de robots de servicio comercial del mundo. Esta falla permitía a cualquier persona con conocimientos técnicos básicos tomar el control de sus robots, incluyendo los modelos BellaBot, ampliamente utilizados en restaurantes, hoteles y hospitales.
A pesar de los repetidos intentos de divulgación responsable, Pudu Robotics no abordó esta vulnerabilidad durante semanas. La falta de controles de autenticación adecuados en casi todos los puntos de conexión de la API dejaba a las flotas de robots completamente desprotegidas. Los atacantes podían no solo ver el historial de actividad de cualquier robot, sino también iniciar, cancelar o redirigir tareas en cualquier parte del mundo. Esto representaba un riesgo significativo de interrupción del servicio, robo de información sensible e incluso compromisos de seguridad en entornos críticos como hospitales y oficinas.
BobDaHacker informó a Pudu Robotics sobre la vulnerabilidad a partir del 12 de agosto, pero la empresa no respondió. Ante la falta de acción, el 21 de agosto, el investigador escaló el problema enviando un correo electrónico a más de cincuenta empleados de la compañía. Finalmente, el 28 de agosto, alertó directamente a clientes importantes, como Skylark Holdings y Zensho, sobre el riesgo para sus flotas. Apenas 48 horas después de esta última advertencia, Pudu Robotics confirmó la recepción de los informes y anunció que la vulnerabilidad había sido reparada.
Este incidente subraya una preocupante falta de seguridad y capacidad de respuesta corporativa por parte de Pudu Robotics. A pesar de su compromiso público con la seguridad, la empresa carecía de medidas básicas como un contacto de seguridad dedicado y protocolos de manejo de vulnerabilidades oportunos. La demora en la respuesta y el uso de comunicaciones impersonales por parte de Pudu Robotics han erosionado la confianza de los clientes y han puesto en evidencia la necesidad de que los fabricantes de robots de servicio prioricen la seguridad desde el diseño.
Este evento pone de manifiesto que, a medida que la automatización se integra en operaciones críticas, una seguridad robusta debe ser una prioridad fundamental para la innovación. Pudu Robotics ahora enfrenta el desafío de restaurar la confianza y de implementar salvaguardas más estrictas y procesos de reporte de vulnerabilidades transparentes.
