Según Test Aankoop, la asociación de consumidores de Bélgica, los sistemas wifi de malla (mesh) Linksys Velop Pro 6E y Linksys Velop Pro 7 envían durante su instalación paquetes de datos a un servidor de Amazon en Estados Unidos. Estos datos incluyen el identificador de la red (SSID) de área local (que sirve para diferenciarla del resto de redes inalámbricas de la zona) y la contraseña en texto plano, tokens de identificación de la red y un token de acceso para una sesión de usuario. Estos datos allanan el camino para un ataque MITM (Man in the middle).
Un ataque MITM con éxito es capaz de sustraer mucha información, ya que se trata de un tipo de ofensiva que intercepta la comunicación entre dos o más partes, pudiendo llegar a suplantar la identidad de uno u otro para ver la información y modificarla. "Generalmente este tipo de ataques son muy peligrosos y difíciles de detectar", dice el INCIBE (Instituto Nacional de Ciberseguridad).
Test Aankoop realizó varias pruebas con Linksys Velop Pro 6E y Linksys Velop Pro 7 usando el último firmware, pero a pesar de haber avisado a Linksys en noviembre del año pasado no se habían tomado medidas para solucionar el fallo de seguridad. Desde entonces Linksys ha lanzado una actualización, pero no abordó el fallo descubierto por la asociación de consumidores belga. En su opinión, el problema podría deberse a un software third-party que usa el firmware de Linksys, una marca que desde 2018 (y junto a Belkin y Wemo) forma parte de Foxconn, uno de los mayores fabricantes de componentes del mundo.
A falta de que Linksys mueva ficha, la solución pasa por cambiar el nombre de la red wifi (SSID) y la contraseña mediante la interfaz web y no la aplicación. De esta forma se evita el envío de datos en texto plano a un servidor de Estados Unidos.