Guangzhou Qiangui IoT Technology Co., Ltd. (Naxclow) 29 de abril de 2026

Vulnerabilidades Críticas en Timbres Inteligentes Naxclow: Robo Silencioso, Suplantación de Identidad y Compromiso de Red Doméstica

configuration-drift

causa raíz

Timeline del incidente

2026-04-01 · Investigador

Investigador comienza a probar timbres inteligentes en un laboratorio aislado.

2026-04-29 · Investigador

Informe de divulgación enviado a Naxclow a través de correos electrónicos y formulario de feedback in-app. No se recibe respuesta.

2026-05-06 · Investigador

Publicación del artículo con detalles sensibles omitidos, una semana después de la notificación inicial.

2026-05-06 · Investigador

Se abre un caso de coordinación con CERT/CC (VINCE) cubriendo los hallazgos.

2026-05-07 · Naxclow

Naxclow contacta al investigador, reconoce el informe e inicia su proceso de revisión interna.

Análisis técnico

El incidente revela una serie de vulnerabilidades críticas en la plataforma de timbres inteligentes de Naxclow, originadas principalmente por una combinación de malas prácticas de seguridad en el diseño del firmware y la arquitectura del backend. La causa raíz se centra en la falta de autenticación robusta y la exposición de credenciales persistentes. El mecanismo de "firma" de las solicitudes, basado en un SHA1 con un "secreto" hardcodeado e idéntico en todas las unidades, no proporciona autenticación real, permitiendo la falsificación de cualquier solicitud.

La cascada de fallos se inicia con la capacidad de falsificar solicitudes. Esto permite la enumeración de IDs de dispositivos (debido a su naturaleza secuencial), el "silent takeover" de cualquier timbre (rebind sin verificación de propiedad), la obtención del "persistent relay password" de cualquier dispositivo (mediante un endpoint no autenticado), y la suplantación de identidad en llamadas en vivo. Además, la exposición de un shell de depuración UART en hardware de producción, junto con el volcado de credenciales de red WiFi y la capacidad de leer/escribir memoria, convierte un acceso físico trivial en un compromiso de red completo.

Las salvaguardas fallaron en múltiples niveles. No había un mecanismo de actualización OTA funcional, lo que significa que cualquier parche de seguridad no podría llegar a los dispositivos ya desplegados. La autenticación en el backend era fundamentalmente defectuosa, confiando en un "secreto" público y sin protección contra replay. Las credenciales persistentes (devToken, cliToken) nunca rotaban, incluso después de un factory reset o rebind, lo que amplificaba el impacto de su exposición. La falta de cifrado en la comunicación P2P y el uso de HTTP plano para el control plane, a pesar de que el servidor soportaba TLS, son fallos adicionales en la implementación de seguridad.

Remediaciones y action items

✓ Implementar un mecanismo de autenticación criptográfica robusto y único por dispositivo, que no dependa de secretos hardcodeados o fácilmente extraíbles.
✓ Asegurar la rotación de todas las credenciales persistentes (devToken, cliToken) tras eventos como factory reset, rebind o periodos de tiempo definidos.
✓ Eliminar o proteger adecuadamente el shell de depuración UART en el firmware de producción para evitar la exposición de información sensible y la ejecución de comandos arbitrarios.
✓ Cifrar todas las comunicaciones, incluyendo el control plane (usando HTTPS) y el flujo de medios P2P (video y audio).
✓ Implementar un sistema de actualización de firmware Over-The-Air (OTA) seguro y funcional para permitir el despliegue de parches de seguridad.
✓ Validar la propiedad del dispositivo en el backend antes de permitir operaciones críticas como el rebind o la obtención de credenciales de señalización.
✓ Utilizar identificadores de dispositivo aleatorios y no secuenciales para evitar la enumeración de la flota.

Lecciones para arquitectos

→ Nunca confiar en "secretos" hardcodeados en el firmware para la autenticación; usar claves únicas por dispositivo y un PKI robusto.
→ Implementar la rotación de credenciales persistentes como parte fundamental del ciclo de vida de seguridad del dispositivo y la cuenta.
→ Deshabilitar o proteger rigurosamente los puertos de depuración (ej. UART, JTAG) en el hardware de producción.
→ Cifrar todas las comunicaciones de extremo a extremo, incluso en redes P2P, para proteger la privacidad y la integridad de los datos.
→ Diseñar un pipeline de actualización de firmware seguro y funcional para dispositivos IoT desde el inicio.
→ La validación de la propiedad del dispositivo debe ser un requisito estricto para cualquier operación de gestión de dispositivos o cuentas.
→ Evitar identificadores de dispositivo secuenciales para prevenir la enumeración de la flota y ataques dirigidos.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp