Esta famosa marca de relojes inteligentes deportivos acaba de admitir un grave problema de seguridad en sus dispositivos

La marca de relojes deportivos COROS padece múltiples fallos de seguridad en todos sus dispositivos. Una reciente investigación reveló vulnerabilidades que permiten a terceros acceder a datos personales, controlar el reloj e incluso secuestrar cuentas de usuario.

Los investigadores notificaron el hallazgo a COROS en marzo. No obstante, la información no se hizo pública hasta junio, una vez superado el periodo de divulgación responsable, en torno a 90 días. En cuanto al tiempo para la solución, la marca ha declarado que solventará los fallos hacia finales de agosto, una fecha mucho más cercana a la que tenían prevista: finales de año, un plazo que levantó la polémica por ser demasiado extenso.

Todos los relojes COROS, en peligro

Los investigadores de SSyS Tech encontraron ocho vulnerabilidades que afectan a toda la gama de relojes COROS, así como al ciclocomputador COROS DURA. El fallo más preocupante permite a un atacante, mediante una conexión Bluetooth cercana, tomar el control del dispositivo sin necesidad de emparejamiento ni intervención del usuario. Esto puede derivar en el robo de datos, la manipulación de entrenamientos o incluso el acceso total a la cuenta del usuario en la nube de COROS.

En dispositivos Android el riesgo es mayor porque la comunicación entre la app y el reloj no pasa por el sistema de emparejamiento del sistema operativo, lo que deja la puerta abierta a conexiones no autorizadas. En iOS, el proceso es algo más seguro, aunque no resulta completamente inmune.

Según el bloguero DC Rainmaker, COROS ha confirmado el fallo y anunciado que ya está trabajando en soluciones. La compañía planea lanzar una primera actualización a finales de julio que corregirá las vulnerabilidades relacionadas con Bluetooth. El resto de problemas, que requieren cambios más profundos en la arquitectura del sistema, se solucionarán antes de finales de agosto.

El fallo de seguridad ha resultado muy polémico porque, según informa DC Rainmaker, se informó al fabricante del fallo el 14 de marzo, pero este no respondió hasta un mes después, pese a confirmar la recepción de la información ese mismo día. Además, según se recoge el bloguero, COROS no pensaba solventar los fallos hasta finales de año, lo que suponía un enorme plazo para que los hackers aprovechasen el fallo.

En asuntos de ciberseguridad, los descubridores de un fallo suelen proporcionar un plazo de tiempo a la marca para que lo solvente. Este acostumbra a ser de 90 días, por ello, el 17 de junio de 2025 lo divulgaron. Esto es algo que también sirve para presionar a la marca para que arregle el problema, estrategia que parece haber resultado, puesto que COROS solventará el problema para finales de agosto.