Un robot vulnerable no filtra datos, te puede lastimar. Esa diferencia es por la que llevo casi una década hackeando robots, y en todo ese tiempo cambio casi todo en esta industria, menos las vulnerabilidades.

El paper que publique en marzo de 2026 con Alias Robotics, “Cybersecurity AI: Hacking Consumer Robots in the AI Era”, demuestra que guiando un agente de IA pudimos encontrar 38 vulnerabilidades en 3 robots de consumo en horas. Si queres aprender a probar la seguridad de robots, este es el mejor momento de la historia para arrancar.

NUEVE AÑOS HACKEANDO ROBOTS

En 2017, con Cesar Cerrudo, publicamos Hacking Robots Before Skynet: una auditoria de mas de una docena de robots de SoftBank, Universal Robots, UBTECH y Rethink Robotics. Casi 50 vulnerabilidades. Ese mismo año demostramos el impacto fisico real explotando robots colaborativos industriales. En 2018 subimos la apuesta con el primer ransomware funcional sobre robots presentado en Kaspersky SAS, infectando NAO y Pepper de SoftBank, deshabilitando el factory reset y mostrando que parar una flota de robots es una palanca de extorsion como cualquier otra.

En esa epoca el supuesto era claro: para auditar un robot tenias que entender ROS (Robot Operating System, el framework abierto que orquesta a la maquina), sistemas embebidos, y la dinamica ciber-fisica, esto es como un comando digital se traduce en movimiento real, con masa, sensores y fisica de por medio. Saber esas tres cosas a la vez era la barrera de entrada. Era fina, pero existia. El club de gente capaz de romper robots era el mas chico de la industria.

Ese club hoy abrio las puertas.

LA IA NO ACELERA, COMPRIME

Alias Robotics construyo CAI (Cybersecurity AI), un agente ofensivo open source que combina conocimiento de protocolos roboticos, sistemas embebidos y bases de datos de exploits dentro de un framework GenAI. La metodologia del paper fue brutal en su simpleza: para cada robot, CAI recibio solo el nombre del producto y acceso. Nada mas. Sin documentacion. Sin research previo. El agente descubrio la superficie de ataque, probo debilidades, escribio exploits y midio impacto.

La IA no esta acelerando este trabajo, lo esta comprimiendo. Lo que en 2017 le tomaba dias mapear a un equipo entero, hoy lo cubre un agente en una tarde. Para el operador ofensivo eso significa tres cosas concretas: mas targets cubiertos por engagement, scopes mas anchos sin inflar el equipo, y un mercado nuevo que hasta ayer estaba reservado para academicos.

LO QUE TENES PARA EXPLOTAR

Auditamos tres robots de consumo de distintos fabricantes y paises: un cortador de cesped autonomo (Hookii Neomow 🇨🇳), un exoesqueleto motorizado (Hypershell X 🇨🇳) y un robot limpiador de ventanas (HOBOT S7 Pro 🇹🇼). El total: 38 vulnerabilidades. 16 criticas, 14 altas, 6 medias, 2 bajas.

Sin entrar en el detalle del paper, los primitives ofensivos que se repitieron en las tres plataformas:

• Servicios sin autenticacion al inicio. Debug services con root expuestos a la red sin credenciales (CVSS 10.0). BLE (Bluetooth de Baja Energia) abierto a cualquier dispositivo en el rango. Acceso inicial gratis, sin exploit de memoria, sin chain complejo. Solo conexion.
• Credenciales hardcodeadas y reutilizadas en toda la flota. Secrets identicos en miles de dispositivos, embebidos en firmware, mobile apps, y heap dumps. Una sola extraccion alimenta el resto del ataque: passwords de bases de datos, API keys de cloud, credenciales SMTP, codigos de recuperacion de Shopify, root MySQL en servidores de China e internacionales.
• OTA sin firma sobre HTTP plano. El servicio OTA (Over-the-Air, actualizaciones inalambricas) del limpiador acepta escrituras arbitrarias de firmware sin verificacion criptografica. Reemplazo de firmware trivial, persistencia indefinida sobre el dispositivo.
• Control fisico via BLE sin auth. El exoesqueleto exponia 177 comandos BLE incluyendo control directo de motores, ejecutables sin autenticacion desde 70 metros. La superficie de ataque es literalmente el cuerpo del que lo lleva puesto.

EL PLAYBOOK 2026: DEL DEBUG SERVICE A LA FLOTA

La cadena ofensiva mas potente del paper la dio el cortador de cesped. La armo CAI sola, en horas, con cero conocimiento previo del producto.

Empezo enumerando puertos y encontro un debug service expuesto a la red sin autenticacion, root automatico, CVSS 10.0. Saco las credenciales MQTT del firmware. Esas credenciales eran identicas en toda la flota. En lugar de quedarse en un solo dispositivo, escalo al broker MQTT del fabricante en cloud, donde encontro default admin credentials. Una vez adentro del broker, enumero 267 robots conectados en tiempo real y confirmo capacidad de mandar comandos arbitrarios a cualquiera de ellos.

Una sola maquina comprometida, una flota entera bajo control. Esa es la primitiva que cambia el calculo del ataque: la economia no es lineal, es exponencial. Un solo bug en un dispositivo de 300 dolares te da una flota de cientos.

VENDORS QUE NO PARCHEAN

La respuesta de los fabricantes a este research te dice mas que el research mismo. Hypershell contesto literal: “En este momento, Hypershell no esta recibiendo reportes de vulnerabilidades ni investigaciones de seguridad externas”.

Traducido al lenguaje del operador ofensivo: estos productos no van a tener parche. La ventana de explotacion no es de tres meses hasta el patch tuesday, es indefinida. Las clases de vulnerabilidad que documentamos en 2017 siguen vivas en 2026 porque a los fabricantes nunca les importo cerrarlas.

En 2017 el patron ya era el mismo: cuatro de seis vendors respondieron a las divulgaciones, dos prometieron parches que nunca llegaron, uno parcheo un año tarde. La industria de la robotica trata al research de seguridad como una molestia. Para el operador ofensivo, esa actitud es una invitacion.

POR QUE ES TU MOMENTO

Hace nueve años hackear robots era un nicho cerrado. Hoy es un campo con superficie de ataque enorme, vendors hostiles a recibir disclosure, productos de consumo que la gente compra en Amazon, y herramientas open source que comprimen meses de research a horas.

El cortador de cesped esta en el jardin de cualquiera. El exoesqueleto se compra para hacer trekking. El limpiador de ventanas trabaja solo en la fachada de un edificio. Y todos exponen control fisico sin autenticacion.

Si te dedicas a aprender sobre seguridad ofensiva, este es tu momento. La barrera de entrada se cayo, el surface se multiplico, y los vendors no van a parchear. La pregunta ya no es si los robots se pueden hackear. Es quien los hackea primero.

RECURSOS

• Paper completo en arXiv (2603.08665) el paper que origino este post.
• CAI en GitHub el agente ofensivo open source que ejecuto la auditoria.
• Apendice tecnico de “Hacking Robots Before Skynet” (PDF en ingles), el detalle tecnico que acompaño al research original de 2017.
• Alias Robotics la empresa española con la que colaboramos. Desarrollan CAI y el Robot Immune System.

Si te resulto util esta informacion, te invito a ver el video relacionado y dejar tu comentario. Tu participacion ayuda a que este contenido llegue a mas personas y siga creciendo esta comunidad.