Tus cámaras Kasa llevan 6 años filtrando tu GPS exacto sin que lo supieras

Cámara de seguridad Kasa TP-Link vulnerable a filtración de GPS
Las cámaras Kasa Spot EC71 de TP-Link exponen coordenadas GPS sin necesidad de autenticación desde 2016.

Compraste una cámara Kasa para vigilar tu casa, a tus mascotas o a tus hijos. Crees que estás más seguro. Pero desde 2016, esa misma cámara ha estado transmitiendo tu ubicación GPS exacta a cualquiera en tu red WiFi sin necesidad de contraseña. Sin autenticación. Sin que lo sepas.

Un investigador de seguridad conocido como BadChemical acaba de publicar el hallazgo en GitHub y ya tiene dos CVEs asignados: CVE-2026-9770 y CVE-2026-13230. La historia explotó en Hacker News con más de 140 puntos en horas. Y lo peor: TP-Link sabía de esto desde hace años.

¿Qué descubrió exactamente?

El investigador compró una Kasa Spot EC71, la desarmó físicamente con un programador CH341A, extrajo el firmware de la memoria SPI y analizó el tráfico de red. Lo que encontró es una pesadilla de seguridad en tres actos:

1. Tu GPS se transmite sin autenticación. La cámara envía coordenadas precisas de latitud y longitud a través de UDP sin cifrar. Cualquier dispositivo en tu red —o cerca de ella— puede interceptarlas. Sin usuario, sin contraseña, sin aviso.

2. Claves RSA compartidas para toda la flota. Todas las cámaras Kasa Spot EC71 usan la misma clave privada RSA. Si un atacante la obtiene de una cámara, puede descifrar el tráfico de todas las demás.

3. Contraseña almacenada con MD5 sin sal. La contraseña de tu cuenta Kasa se guarda usando el algoritmo de hash MD5 —sin sal—, una técnica considerada insegura desde 2012. Si alguien accede al firmware, extraer tu contraseña es trivial.

El peor detalle: ya lo sabían desde 2016

Esto no es un error nuevo. La exposición de GPS sin autenticación en productos TP-Link se conoce desde agosto de 2020 para las cámaras, y desde julio de 2016 para el protocolo subyacente no autenticado. En noviembre de 2020, TP-Link corrigió exactamente el mismo problema en sus enchufes inteligentes (Kasa Smart Plug), pero nunca extendió esa corrección a la línea de cámaras.

El resultado: seis años de exposición innecesaria que afecta a millones de hogares.

El riesgo secundario (y el más aterrador)

Si vendiste o regalaste tu cámara Kasa, el nuevo dueño puede recuperar tus coordenadas GPS y las credenciales de tu cuenta con solo restaurar la cámara a valores de fábrica. El ataque de mercado secundario permite al comprador obtener los datos del dueño anterior sin ningún conocimiento técnico avanzado.

Imagina que vendes tu cámara usada y sin saberlo entregas un mapa de tu casa con coordenadas exactas a un extraño.

¿Qué hacer si tienes una Kasa?

TP-Link lanzó el firmware v2.4.1 que corrige estos tres problemas. Si tienes una cámara Kasa Spot EC71, esto es lo que debes hacer YA:

✅ Actualiza el firmware. Abre la app Kasa, ve a configuración del dispositivo y busca actualizaciones. Si tu cámara sigue en 2.3.26 o anterior, estás expuesto.

✅ Cambia tu contraseña de Kasa. No confíes en que la actualización del firmware también limpió las credenciales comprometidas.

✅ Si vas a desechar o vender la cámara: después de actualizar a v2.4.1, haz un restablecimiento de fábrica con el firmware ya parcheado. Esto sobreescribe los datos del propietario anterior.

✅ Aísla tus dispositivos IoT en una VLAN separada. Lo recomendado desde hace años: tus cámaras, enchufes y bombillas inteligentes no deberían estar en la misma red que tu computadora o tu celular.

La lección más grande

Este caso no es aislado. Es un síntoma de un problema estructural en la industria IoT: los fabricantes priorizan la velocidad de mercado sobre la seguridad. Parchean los problemas más visibles (enchufes) pero dejan sin corregir productos de la misma familia (cámaras) durante años.

TP-Link colaboró con el investigador durante seis meses de divulgación coordinada, pero el informe revela algo preocupante: la compañía aplicó correcciones específicas y puntuales en lugar de hacer una revisión arquitectónica completa de seguridad. Y el bug de GPS expuesto llevaba conocido desde 2016 sin acción hasta que un investigador externo lo forzó.

Más de 6,000 exoplanetas hemos descubierto, pero todavía no podemos asegurar que una cámara de $40 no esté filtrando nuestra ubicación. Piensa en eso.

Comparte esto con alguien que tenga una cámara Kasa en casa. Podría estar exponiendo su ubicación sin saberlo.