Nadie te dice esto sobre tus cámaras TP-Link Kasa: han estado filtrando tu GPS por 6 años

Cámara de seguridad TP-Link Kasa con enfoque en lente
Las cámaras TP-Link Kasa Spot EC71 almacenan y transmiten tu ubicación GPS sin autenticación desde 2016.

¿Sabías que cualquiera conectado a tu WiFi puede saber exactamente dónde vives con solo enviar un mensaje de 58 bytes? No me refiero a tu dirección IP aproximada. Me refiero a tus coordenadas exactas de longitud y latitud, con precisión de metros. Y no necesitan tu contraseña de WiFi, ni hackear tu router, ni siquiera saber tu nombre.

Solo necesitan estar en tu red local y enviar un paquete UDP al puerto 9999 de tu cámara TP-Link Kasa. El resto lo hace ella solita.

Lo peor de todo: esto no es nuevo. Se reportó por primera vez en 2016. Pasaron seis años sin que TP-Link hiciera nada al respecto. Hasta que un investigador llamado Christopher Childress (BadChemical) publicó la semana pasada un análisis completo con dos CVEs demostrando que el problema es mucho más grave de lo que se pensaba.

¿Qué descubrió exactamente?

Childress compró una cámara Kasa Spot EC71 en Amazon, conectó un programador CH341A a su chip SPI, y extrajo el firmware directamente del hardware. Lo que encontró dentro es aterrador:

CVE-2026-13230 — Tu GPS en bandeja de plata: Cualquier dispositivo en tu red local puede enviar '{"system":{"get_sysinfo":{}}}' al puerto 9999 de tu cámara Kasa y recibir, sin autenticación, tus coordenadas GPS precisas, el ID único del hardware, la dirección MAC, y el nombre que le pusiste a tu cámara. Todo esto protegido únicamente por un cifrado XOR tan básico que Wireshark lo descifra solo.

El GPS que nunca pediste

Aquí viene lo peor: tú nunca activaste esta función. Cuando creaste tu cuenta de TP-Link Kasa, la app tomó las coordenadas de tu teléfono y las guardó permanentemente en el firmware de la cámara. No importa si desactivaste el geo-fencing. No importa si ni siquiera sabías que existía. Las coordenadas están ahí, estáticas, sin rotar, transmitiéndose a cualquiera que pregunte.

TP-Link sabía de esta vulnerabilidad desde agosto de 2020, cuando un investigador independiente documentó exactamente el mismo comportamiento en la cámara KC100. Y antes de eso, en julio de 2016, softScheck ya había publicado que el protocolo Smart Home de TP-Link en el puerto 9999 no tenía autenticación alguna.

¿La respuesta de TP-Link? Remediaron el problema en sus enchufes inteligentes en noviembre de 2020... pero nunca lo extendieron a las cámaras. Durante seis años.

CVE-2026-9770 — La llave maestra que comparten TODAS las cámaras

Si lo del GPS te pareció grave, esto te va a indignar. Todas las cámaras Kasa Spot EC71 del planeta comparten la misma clave RSA privada. La misma. Un atacante puede extraerla de una sola cámara (con un programador de $3) y tener acceso criptográfico a toda la flota mundial de dispositivos.

Además, las credenciales de tu cuenta de TP-Link se guardan en el firmware como un hash MD5 sin sal. Para los que no son técnicos: MD5 sin sal es un algoritmo de los años 90 que una GPU moderna puede crackear en segundos. Con eso, un atacante obtiene acceso no solo a tu cámara Kasa, sino a todos los productos TP-Link que uses: cerraduras inteligentes Tapo, sistemas mesh Deco, equipos de vigilancia VIGI.

El verdadero peligro: el mercado de segunda mano

Este es el hallazgo más escalofriante. Cuando vendes o regalas una cámara Kasa usada, le estás entregando tu ubicación exacta y tus credenciales al comprador. Así de simple.

Restaurar la cámara a valores de fábrica no borra los datos del dueño anterior. Childress lo confirmó: compró una cámara, la reseteó, y pudo extraer el email y el hash de contraseña del dueño anterior del chip SPI, además de obtener sus coordenadas GPS a través del soft AP de la cámara. Todo sin conexión a internet, sin conocer al dueño anterior, sin skills de hacking avanzados.

¿Qué puedes hacer?

TP-Link lanzó el parche v2.4.1 que soluciona los tres problemas. Si tienes una cámara Kasa Spot EC71 (o cualquier otra cámara Kasa, porque el mismo protocolo inseguro aplica a múltiples modelos), actualiza el firmware AHORA desde la app de Kasa.

Si compraste una cámara Kasa de segunda mano: asume que el dueño anterior puede tener acceso a tus datos. Cambia la contraseña de tu cuenta TP-Link inmediatamente después de configurarla, y asegúrate de que el firmware esté en la versión 2.4.1 o superior.

Y si todavía estás considerando comprar una cámara de seguridad IoT barata: pregúntate si realmente quieres que un fabricante que ignoró una vulnerabilidad GPS durante 6 años tenga acceso a tu dirección exacta.

La lección más grande

El problema no es solo TP-Link. Es toda la industria del IoT. Fabricantes que ponen productos en el mercado con seguridad como afterthought, que ignoran reportes de investigadores durante años, que parchean solo cuando los CVEs se hacen públicos. Tus enchufes inteligentes, tus bombillas, tus cerraduras, tu timbre con cámara — todos componentes de un ecosistema que prioriza el time-to-market sobre tu privacidad.

La próxima vez que veas una oferta de "cámara inteligente por $20" en Amazon o MercadoLibre: no es una oferta. Es un riesgo de seguridad que estás instalando en el centro de tu hogar.

Comparte esto con alguien que tenga cámaras TP-Link en su casa. Literalmente no saben que llevan 6 años compartiendo su ubicación con cualquiera.