Los ojos de un bebé miran directamente a la lente de la cámara. Un niño con una camisa a rayas mira hacia arriba y luego hacia otro lado. Un niño disfrazado de policía, con una estrella dorada en el pecho. Un dormitorio desordenado que me recuerda al de mis propias hijas, con una litera deshecha, un gorrito y una diadema de niña y Hello Kitty pegada a la pared.
Un pensamiento se repite en mi mente: no debería estar viendo esto. Ningún extraño debería hacerlo.
Pero los malos actores podrían haber espiado fácilmente todas estas ubicaciones (y un millón más) porque muchos de los monitores para bebés y cámaras de seguridad Wi-Fi de Meari Technology eran absurdamente inseguros. Si tenías acceso a una de esas cámaras, teóricamente tenías acceso a todas.
Meari es una marca china de marca blanca cuyas cámaras se venden con cientos de nombres diferentes. Muchos son vendedores de Amazon que suenan genéricos como Arenti, Anran, Boifun e ieGeek. Pero los registros financieros muestran que uno de los mayores clientes de la empresa es Wyze; su mayor cliente es Zhiyun; y muchas cámaras pirateables eran de Intelbras. Al menos una de las cámaras de vigilancia de mascotas de Petcube parece ser también un producto de Meari.
Sammy Azdoufal, el hombre de Francia que creó un ejército de robots aspiradores DJI Romo a control remoto sin intentarlo realmente, nos cuenta El borde Encontró 1,1 millones de cámaras Meari accesibles de forma remota casi de la misma manera. Con solo inspeccionar la aplicación de Android, Azdoufal dice que pudo extraer una clave única que le dio acceso a dispositivos en 118 países.
Cada uno de esos millones de dispositivos transmitía su información a cualquiera que supiera escuchar. O cualquiera que supiera cómo adivinar las contraseñas de la empresa, muchas de las cuales todavía estaban configuradas por defecto. Una de esas contraseñas era la palabra «admin». Otra fue la palabra «público».
Cuando Azdoufal conectó el flujo de datos MQTT a un mapa del mundo codificado por vibración, dice que podía ver «todo». Podía ver el interior de las casas de la gente. Podía ver sus direcciones de correo electrónico y ubicaciones aproximadas.
También pudo ver decenas de miles de fotografías de estas cámaras, almacenadas en servidores chinos de Alibaba en direcciones web públicas sin ninguna protección, incluidas las fotografías que describo al principio de esta historia.
«Puedo recuperar la imagen sin contraseñas, sin descifrar ni piratear», dice Azdoufal. «Simplemente hago clic en la URL y se muestra esta imagen».
Azdoufal dice que incluso encontró a un hombre desprotegido interno servidor con las contraseñas y credenciales de Meari expuestas a la vista, así como una lista de los 678 empleados con sus correos electrónicos y números de teléfono. “Hablo con el jefe, tengo su número, le envío un WeChat”, se ríe Azdoufal.
Dice que fue entonces cuando Meari finalmente comenzó a responder sus correos electrónicos. Aunque los informes de vulnerabilidades en la plataforma CloudEdge de Meari se remontan a años atrás, y un informe de vulnerabilidad de finales de 2025 predijo el daño que podría causar el diseño MQTT de Meari, dice que la compañía no lo tomó en serio hasta que se demostró que sus propios empleados eran vulnerables.
El 10 de marzo, Meari cortó el acceso a Azdoufal y cerró el agujero principal. Cuando compré las cámaras de tres proveedores de Meari con la esperanza de obtener una demostración en vivo del truco, ya era (¡afortunadamente!) demasiado tarde para verlo funcionar. Pero aunque no hay ningún GIF de mí siendo atropellado por un robot cortacésped, no tuve que creer la palabra de Azdoufal de que el daño potencial era real.
“Bajo condiciones técnicas específicas, los atacantes pueden interceptar todos los mensajes transmitidos a través de la plataforma EMQX IoT sin autorización del usuario”, admitió un portavoz anónimo del “Equipo de seguridad de tecnología de Meari”. El bordecuando nos comunicamos por correo electrónico. (La compañía no proporcionó un portavoz designado según nuestra política de antecedentes, pero publicamos la declaración porque es una admisión clara de la vulnerabilidad principal).
La compañía también dice que descubrió «Riesgo de potencial Ejecución remota de código (RCE) debido a problemas de contraseñas débiles en la plataforma de tareas programadas”. (En ambas declaraciones, la negrita es suya).
Para solucionar los problemas, el portavoz anónimo de Meari dice que cerró su plataforma EMQX por completo, cambió los nombres de usuario y contraseñas y les dijo a sus clientes que actualizaran los dispositivos al firmware más reciente (afirma que sólo las versiones inferiores a 3.0.0 se ven afectadas).
Pero Meari no quiso decirnos:
- ¿Cuántas cámaras o marcas eran realmente vulnerables?
- Si esas marcas han advertido adecuadamente a sus clientes;
- Si ya se ha abusado de estas vulnerabilidades;
- ¿Qué impide (si es que hay algo) que un empleado de Meari o cualquiera de sus proveedores espíe a personas del otro lado del mundo?
Azdoufal dice que de la forma en que Meari diseñó originalmente su sistema, cualquier marca podía acceder a las cámaras de cualquier otra marca, ya que todas compartían los mismos servidores y contraseñas.
Al cerrar la plataforma EMQX hizo bloquear el acceso remoto, confirma Azdoufal, no está claro qué sucede ahora con esos millones de cámaras. Meari no nos ha dicho cuántos de esos dispositivos realmente pueden obtener una nueva actualización de firmware, o si los socios de Meari realmente han transmitido una advertencia a las personas que tienen estas cámaras en sus hogares.
Intentamos comunicarnos con algunos compañeros de cámara de Meari para ver si estaban al tanto del problema. Wyze y Petcam no respondieron. EMQX tampoco.
Kennya Gava, portavoz de Intelbras, dice El borde que la empresa sólo trabajó con Meari en tres timbres con vídeo Wi-Fi y que «menos de 50» unidades tenían «una vulnerabilidad potencial». Ese pequeño número no concuerda con la historia de Azdoufal. Intelbras parecía ser una de las más marcas populares en su conjunto de datos, con una alta concentración de cámaras en Brasil. Gava no dijo si Meari había estado en contacto sobre las vulnerabilidades, o si Intelbras transmitiría una advertencia a sus propios clientes.
Cuando nos comunicamos con el Comité Selecto del Congreso sobre el Partido Comunista Chino sobre Meari, la oficina del congresista Ro Khanna (D-CA) respondió que los informes eran preocupantes: «Investigaré esto como miembro de alto rango del Comité Selecto sobre China», prometió Khanna.
La buena noticia es que Azdoufal dice que la mayor parte de lo que descubrió parece estar solucionado y el 7 de mayo recibió una recompensa por error de 24.000 euros por su ayuda. Pero la experiencia parece haberle dejado mal sabor de boca.
En marzo, después de compartir por primera vez su investigación con Meari, la empresa le envió lo que él interpretó como una amenaza velada. La empresa le dijo que era «plenamente capaz de proteger nuestros intereses», que sabía dónde vivía y que su descubrimiento de los servidores internos de Meari era «ilegal».
Tampoco está contento de que Meari inicialmente haya intentado retroceder sus boletines de seguridad al 2 de marzo. De esa manera, habría parecido que Meari descubrió las vulnerabilidades antes de que él se acercara. Incluso hoy, los boletines tienen fecha del 12 de marzo, casi un mes antes de que Meari los publicara en abril. También señala que Meari aún tiene que cumplir con sus obligaciones del RGPD de notificar a los ciudadanos de la UE sobre la infracción.
Ojalá pudiera decir que he descrito todo lo que Azdoufal descubrió sobre las prácticas de Meari, pero puedes encontrar más en su informe de seguridad completo. Esta vez también se asoció con Tod Beardsley de runZero para presentar cinco informes oficiales de vulnerabilidad CVE.
Mientras investigaba esta historia, descubrí que una gran cantidad de monitores para bebés en Amazon ahora anuncian «No hay Wi-Fi». Eso no significa automáticamente que sean seguros, pero al menos su transmisión FHSS o DECT de corto alcance debería ser difícil de espiar desde el otro lado del mundo.
