Robot aspiradora similar al modelo y marca que ocasionó el 'hackeo'.

Robot aspiradora similar al modelo y marca que ocasionó el 'hackeo'.

Tecnología

Un ingeniero en Barcelona controló sin querer 6.700 aspiradoras robot en casas de todo el mundo con un mando

Los aparatos estaban situados en 24 países diferentes, exponiendo mapas de hogares por un fallo de permisos que la marca parcheó tardíamente.

Más información: El robot que quiere jubilar a los bomberos: extingue incendios apagando varios fuegos a la vez sin que lo maneje un humano

Publicada

Las claves
nuevo Generado con IA

Un ingeniero en Barcelona logró controlar sin querer 6.700 aspiradoras robot en 24 países al experimentar con un mando de PS5.

La aplicación casera desarrollada permitió recibir datos de miles de robots, incluyendo mapas interiores, recorridos y números de serie.

El fallo de seguridad se debió a una validación insuficiente en el backend de la marca, que permitió acceder a información sensible de otros dispositivos.

El caso reabre el debate sobre la ciberseguridad de dispositivos conectados en el hogar, como aspiradoras con sensores, cámaras y micrófonos.

Lo que empezó como un experimento doméstico terminó convertido en uno de esos casos que resumen de golpe el problema de tener una casa con todo conectado. Sammy Azdoufal, un ingeniero afincado en Barcelona, solo quería manejar su robot aspirador con un mando de PS5.

Para conseguirlo creó una aplicación casera y se puso a estudiar cómo se comunicaba su aspiradora con los servidores de la marca del aparato. Lo inesperado fue que no respondió solo su robot: empezaron a aparecer miles de dispositivos repartidos por medio mundo.

Según la demostración recogida por The Verge, en apenas nueve minutos su herramienta había localizado 6.700 robots en 24 países y reunido más de 100.000 mensajes enviados por esos equipos, que reportaban datos de actividad cada pocos segundos.

Lo más delicado no era solo la cantidad. Esos mensajes incluían números de serie, estancias que estaban limpiando, nivel de batería, recorridos, regreso a la base e incluso información suficiente para reconstruir mapas interiores de viviendas y ubicar de forma aproximada los dispositivos.

Azdoufal sostiene que no hackeó los servidores en el sentido clásico. Lo que hizo fue extraer el token privado de su propio robot y autenticarse como cliente legítimo. El fallo, según su versión, estaba en que el backend no limitaba correctamente qué podía consultar después.

Utilizó una IA

Para descifrar esos protocolos recurrió a la IA Claude Code, que usó para el proceso de ingeniería inversa. La marca acabó admitiendo un “problema de validación de permisos de backend”. La compañía afirma haber publicado un primer parche el 8 de febrero y un segundo el 10 de febrero.

Pero no parece haber sido suficiente. The Verge contó que, cuando recibió la primera respuesta oficial de la marca diciendo que el problema ya estaba resuelto, todavía pudo ver junto a Azdoufal miles de robots reportando datos en directo.

Robot con manos humanas

El caso no preocupa solo porque hablemos de una aspiradora. Estos equipos llevan sensores, conectividad permanente, navegación visual y, en algunos modelos, cámara y micrófono dentro de casa.

También reabre un debate más amplio sobre esta industria. En enero de 2025, Estados Unidos lanzó el US Cyber Trust Mark, una etiqueta pensada precisamente para distinguir dispositivos conectados que cumplan ciertos requisitos mínimos de ciberseguridad y actualización.

La lógica detrás de esa iniciativa es sencilla: cada aparato conectado añade una nueva puerta digital dentro de casa, y muchas veces el usuario no tiene forma clara de saber si esa puerta está bien cerrada. El mercado premia la comodidad mucho antes que la auditoría.