Un investigador de seguridad independiente llamado Sammy Azdoufal publicó en mayo de 2026 uno de los casos de vulnerabilidad en cámaras domésticas más documentados y perturbadores de los últimos años. Simplemente analizando la aplicación de Android de la marca Meari Technologies, extrajo una clave única que le permitió acceder a 1,1 millones de cámaras distribuidas en 118 países, incluidos vigilabebés activos en habitaciones de niños. El ataque no requería hackear nada: la clave estaba en la app, visible para cualquiera que supiera dónde buscar. La investigación completa está documentada en su repositorio de GitHub bajo el título «Nobody puts baby in a corner».
Lo que encontró Azdoufal al otro lado de esa llave no era solo imágenes de seguridad de aparcamientos. Eran habitaciones infantiles decoradas con Hello Kitty, bebés mirando directamente a la cámara, momentos familiares privados. Y cualquiera con los conocimientos técnicos básicos podía verlos.
Meari Technologies: el fabricante que nadie conoce pero que fabrica para todos
Meari es una empresa china de fabricación de marca blanca. Su nombre no aparece en las cajas de la mayoría de sus productos: fabrica cámaras para docenas de marcas que venden en Amazon bajo sus propios nombres. Las marcas identificadas como usuarios de la plataforma Meari incluyen Arenti, Anran, Boifun, ieGeek, Wyze, Petcube, COCOCAM, PetTec, SV3C, Joystek, Luvion y Vimar. Según el análisis de eSecurity Planet, la vulnerabilidad afecta a más de 300 marcas que usan la misma plataforma tecnológica de Meari. El vector de identificación más fiable: si tu cámara usa la aplicación CloudEdge para visualizar el feed, está en la plataforma afectada, independientemente del nombre de la marca impreso en el hardware.
El problema no era un fallo en un modelo concreto sino en toda la arquitectura compartida. Meari usa una infraestructura cloud común para todas sus marcas cliente. Las fallas identificadas incluyen el CVE-2026-33356, que describe la ausencia de controles de acceso individuales por dispositivo en el broker MQTT (un protocolo de mensajería de máquina a máquina usado en plataformas IoT) de Meari. Cualquier cuenta gratuita en la plataforma CloudEdge podía suscribirse a notificaciones de todos los dispositivos de una región y monitorizar actividad en tiempo real. Azdoufal observó mensajes de más de 2.000 cámaras en cuestión de minutos desde una sola cuenta.
Las cinco capas de negligencia de seguridad
La investigación de Azdoufal documentó no uno sino varios fallos independientes, todos simultáneos:
Contraseñas por defecto: Las cámaras se enviaban con contraseñas de acceso predeterminadas como «admin» o «public» que la mayoría de usuarios nunca cambiaban.
Imágenes sin cifrar en la nube: Las fotos de alerta —las que la cámara envía cuando detecta movimiento— estaban almacenadas en servidores de Alibaba sin ningún tipo de control de acceso. Eran accesibles simplemente introduciendo la URL correcta en un navegador, sin necesidad de autenticación.
Servidor interno expuesto: Azdoufal encontró un servidor de Meari completamente desprotegido que contenía las credenciales de 678 empleados de la empresa —incluyendo el CEO— junto con datos operativos de la infraestructura. Nadie había protegido ese acceso.
Marcas sin aislamiento entre sí: Las distintas marcas que usaban la misma plataforma Meari compartían servidores y en algunos casos credenciales, sin ningún tipo de segregación. Una vulnerabilidad en la plataforma de Arenti exponía también las cámaras de Petcube y viceversa.
MQTT no autenticado: El sistema de mensajería de IoT que coordinaba las cámaras no tenía las protecciones estándar del protocolo, permitiendo acceso no autorizado en tiempo real.
La respuesta de Meari: amenazas primero, parches después
La respuesta inicial de Meari a las comunicaciones de Azdoufal fue, según el investigador y múltiples medios que verificaron el intercambio, amenazarle. La empresa le indicó que sabía dónde vivía y sugirió que su investigación era ilegal. Solo después de que el caso atrajera atención pública y los propios datos de empleados de Meari quedaran expuestos, la compañía reaccionó con medidas técnicas: cerrar la plataforma EMQX vulnerable, rotar las credenciales comprometidas y publicar actualizaciones de firmware para algunos modelos afectados.
El bug bounty final fue de 24.000 euros. Para una vulnerabilidad que afectaba a 1,1 millones de dispositivos en 118 países, es una cifra modesta según los estándares del sector. Por comparación, Google paga hasta 150.000 dólares por vulnerabilidades críticas en Chrome, y Apple hasta 2 millones por exploits zero-click en iOS.
La seguridad IoT en el hogar tiene un problema estructural que va más allá de Meari: el 57% de los dispositivos IoT tienen vulnerabilidades conocidas que sus fabricantes nunca parchean, según Palo Alto Networks. Las cámaras de seguridad domésticas, bien configuradas, son una herramienta legítima, pero la selección del fabricante y la configuración inicial marcan la diferencia entre protección real y agujero de privacidad. Mejorar la seguridad del hogar con cámaras inteligentes empieza siempre por verificar que el fabricante tiene historial de actualizaciones de seguridad, algo que Meari claramente no había priorizado.
Mi valoración
Este caso tiene la combinación más preocupante posible: dispositivos diseñados explícitamente para vigilar a los miembros más vulnerables de una familia —bebés y niños pequeños— con una arquitectura de seguridad que parece diseñada activamente para fallar. No un bug aislado: cinco capas de negligencia simultáneas, incluyendo el almacenamiento de imágenes de menores en servidores sin protección.
Lo que más me preocupa es el patrón de respuesta de Meari: amenazas al investigador antes que parches. Esa reacción dice mucho más sobre la cultura de seguridad de la empresa que el propio bug. Una empresa que se toma la seguridad en serio agradece a los investigadores de buena fe y paga bounties proporcionales. Meari hizo exactamente lo contrario, al menos hasta que la presión fue insostenible.
La solución práctica para quienes tienen cámaras de estas marcas: verificar si usan la app CloudEdge, actualizar el firmware a la versión más reciente, cambiar las contraseñas por defecto, y valorar migrar a cámaras de fabricantes con historial auditado de respuesta a vulnerabilidades (Apple HomeKit, Google Nest o Arlo tienen mejores credenciales en este sentido).
Preguntas frecuentes
¿Cómo sé si mi cámara está afectada?
El indicador más fiable es la app que usas para ver el feed. Si la aplicación se llama CloudEdge, tu cámara está en la plataforma Meari y podría haber estado afectada. La lista de marcas confirmadas incluye Arenti, Boifun, ieGeek, Wyze, Petcube, Luvion, Vimar, y más de 300 marcas adicionales según las investigaciones.
¿Ya está solucionado el problema?
Meari cerró la plataforma EMQX vulnerable, rotó credenciales comprometidas y publicó actualizaciones de firmware para algunos modelos. Sin embargo, las actualizaciones de firmware requieren que el usuario las instale manualmente o que la cámara tenga activada la actualización automática. Verifica en la app que tu dispositivo tiene la versión de firmware más reciente.
¿Debo tirar mi cámara Meari?
No necesariamente. Actualiza el firmware, cambia las contraseñas predeterminadas por contraseñas robustas y revisa que no tienes activado el acceso remoto innecesariamente. Si la app CloudEdge tiene una actualización disponible, instálala. Si no tienes confianza en el fabricante tras este incidente, existen alternativas con mejor historial de seguridad.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario