🔥 Polémica
Tus cámaras TP-Link Kasa han estado filtrando tu ubicación exacta por 6 años
Imaginate que alguien desde cualquier parte del mundo puede saber exactamente dónde está tu casa con solo conocer la dirección IP de tu cámara de seguridad. No necesita contraseña. No necesita hackearte. Solo enviar un paquete UDP y recibir tus coordenadas GPS.
Esto no es un escenario hipotético de ciencia ficción. Es lo que ha estado pasando con las cámaras TP-Link Kasa Spot EC71 durante los últimos seis años. Y lo peor es que TP-Link sabía del problema desde 2020 y no lo arregló.
¿Qué descubrió exactamente el investigador?
Christopher Childress (BadChemical) publicó un análisis de seguridad completo de la Kasa Spot EC71, revelando tres vulnerabilidades críticas:
1. GPS sin autenticación (CVE-2026-13230). Las cámaras exponen coordenadas GPS precisas a través de UDP sin requerir ninguna autenticación. Cualquier dispositivo en la misma red — o peor, desde fuera si hay forwarding — puede obtener tu ubicación exacta.
2. Clave RSA idéntica en todos los dispositivos (CVE-2026-9770). Todas las cámaras Kasa Spot EC71 comparten la misma clave privada RSA. Esto significa que si comprometes una, puedes descifrar el tráfico de cualquier otra.
3. Credenciales en MD5 sin sal. Las contraseñas se almacenan con hash MD5 sin sal — una técnica de seguridad que debería haber muerto en los 90. Cualquier persona con acceso al firmware puede extraerlas y revertirlas en segundos.
Lo más indignante: lo sabían desde 2016
Según el informe de Childress, la vulnerabilidad de exposición GPS se conoce públicamente desde agosto de 2020 en toda la línea de cámaras de TP-Link. Y el protocolo subyacente que permite la filtración está documentado desde julio de 2016.
TP-Link ya había parcheado la misma clase de vulnerabilidad en sus enchufes inteligentes (smart plugs) en noviembre de 2020. Pero no extendió la corrección a sus cámaras. Dejó a millones de usuarios expuestos durante años, sabiendo que el problema existía.
El mercado de segunda mano: otro problema enorme
El informe también revela un vector de ataque en el mercado secundario: incluso después de restaurar la cámara a configuración de fábrica, un atacante puede recuperar las credenciales del dueño anterior y sus coordenadas GPS.
¿Compraste una cámara Kasa usada? El anterior dueño podría tener acceso a tu privacidad sin que lo sepas. ¿Vendiste una? Tu ubicación y credenciales siguen ahí.
Una historia de parches que rompen todo
El proceso de divulgación fue digno de una novela de Kafka. Durante seis meses, Childress y TP-Link intercambiaron correos, parches beta, y promesas incumplidas:
- TP-Link tardó 3 meses en reconocer el problema del GPS.
- El firmware beta 2.4.00 bricked (dejó inservible) el dispositivo de prueba.
- No había ruta de recuperación por software — el investigador tuvo que esperar a que TP-Link le enviara una cámara de reemplazo.
- La versión final 2.4.1 corrige las vulnerabilidades, pero el proceso tomó medio año.
¿Qué significa esto para ti?
Si tienes una cámara TP-Link Kasa Spot EC71 (o cualquier cámara de seguridad IP):
Actualiza el firmware AHORA. La versión 2.4.1 corrige estas vulnerabilidades. Ve a la app Kasa y verifica que tengas la última versión.
Segmenta tu red IoT. Pon tus dispositivos inteligentes en una VLAN separada. Así, incluso si una cámara se compromete, el atacante no llega a tu computadora principal.
Desactiva UPnP en tu router. El reenvío de puertos automático expone estos dispositivos a internet. Si no necesitas acceso remoto, no lo habilites.
No compres cámaras de seguridad usadas. El riesgo de que conserven datos del dueño anterior es real. Paga el precio completo por un dispositivo nuevo.
El problema más grande: IoT es un desastre de seguridad
Esto no es solo TP-Link. Es la industria entera del IoT. Los fabricantes compiten por precio y velocidad de mercado, y la seguridad es siempre la primera en sacrificarse. Claves RSA compartidas, MD5 sin sal, GPS sin autenticación — todo esto es inaceptable en 2026.
Mientras no haya regulación seria que obligue a los fabricantes a hacer seguridad desde el diseño (security by design), seguirán vendiendo dispositivos que convierten tu hogar en un objetivo.
La Unión Europea está avanzando con la Ley de Ciberresiliencia, pero para cuando entre en vigor completamente, millones de dispositivos ya estarán en los hogares. Y muchos ni siquiera reciben actualizaciones.
Comparte esto con alguien que tenga una cámara TP-Link en casa. Puede que no sepa que su privacidad ha estado expuesta durante años.