
Imagina que alguien puede saber exactamente donde vives, con precision de GPS, solo por estar cerca de tu red wifi. No es ciencia ficcion. Es lo que paso durante seis años con las camaras TP-Link Kasa, y lo peor es que la empresa lo sabia desde al menos 2020.
El investigador de seguridad Christopher Childress publico esta semana un advisory detallado sobre la Kasa Spot EC71, una camara IP barata que se vende en todo el mundo, incluyendo Chile. Lo que encontro es para enmarcarlo: la camara transmite tu ubicacion GPS exacta por UDP en el puerto 9999, sin autenticacion, sin cifrado, sin nada. Cualquiera en la misma red puede pedirle a la camara que le diga donde estas. Y la camara, obediente, responde.
El protocolo que nunca debio existir
El problema no es nuevo. El protocolo Smart Home de TP-Link en el puerto 9999 fue documentado por primera vez en julio de 2016 por softScheck, un investigador aleman que reverse-engineered el HS110, un enchufe inteligente. Ese protocolo permite controlar dispositivos sin autenticacion. En 2020, otro investigador documento que la camara KC100 filtraba GPS por el mismo metodo.
TP-Link parcho los enchufes inteligentes en noviembre de 2020. Pero no toco las camaras. Dejo que el mismo bug, la misma exposicion, siguiera vivo en productos que la gente pone dentro de su casa, apuntando a sus habitaciones, sus hijos, su vida privada. Seis años despues, Childress tuvo que extraer el firmware fisicamente con un programador CH341A para demostrar que el problema seguia ahi.
No era solo el GPS
El advisory tambien detalla otras dos vulnerabilidades graves. La primera: claves RSA privadas hardcodeadas en el firmware, identicas para toda la flota de dispositivos. Si extraes una, tienes la llave de todas las camaras del mundo con ese firmware. La segunda: credenciales almacenadas con MD5 sin sal, un algoritmo que se considera roto desde hace mas de una decada.
Pero lo del GPS es lo que mas me revuelve el estomago. Porque no es un bug complejo, no es un edge case. Es una funcionalidad deliberada: la camara tiene geofencing, necesita saber donde esta para activarse cuando llegas a casa. El problema es que esa informacion quedo expuesta a cualquiera que pregunte. Y TP-Link, sabiendo esto desde 2020, decidio que no era prioridad.
La leccion para Chile
En Chile estas camaras se venden en Paris, en Falabella, en MercadoLibre. Son baratas, funcionan bien, y la app es facil de usar. Exactamente el tipo de producto que compra alguien que quiere vigilar su casa sin complicarse la vida. Y exactamente el tipo de producto que deberia tener seguridad por defecto, no como un addon que llega seis años tarde.
Si tienes una Kasa EC70 o EC71, actualiza el firmware a la version 2.4.1 ya. Si no puedes actualizar, desconectala. Y si estas pensando en comprar una camara IP, preguntate: ¿confio en que esta empresa va a proteger mi ubicacion, mi video, mi privacidad? Porque la respuesta, en el caso de TP-Link, fue un no rotundo durante mas de medio decada.
La seguridad en IoT no puede ser un parche que llega cuando un investigador se da el trabajo de desarmar el dispositivo. Tiene que ser el punto de partida. Mientras tanto, revisa que camaras tienes en tu casa. Quizas te sorprenda lo que estan transmitiendo.
Fuente de inspiración: Security Advisory: Kasa Spot EC71 (Firmware 2.3.26)
