El sorprenent cas d’un enginyer que va controlar 6.700 robots aspiradors
Què faries si un experiment casolà et permet controlar milers de robots aspiradors arreu del món? Això és exactament el que li va passar a Sammy Azdoufal, un enginyer que viu a Barcelona i només volia manejar el seu aparell amb un comandament de PS5.
El que semblava un joc es va convertir en un descobriment inesperat: a través d’una aplicació pròpia, va acabar connectant-se a 6.700 robots en 24 països, accedint a informació sensible i mapes interiors de cases. Un malson per la ciberseguretat domèstica.
Com va passar aquest fenomen inesperat?
El projecte inicial i la connexió global
Sammy només volia un control més còmode per al seu robot aspirador. Va crear una app casolana que interceptava la comunicació entre el robot i el servidor de la marca.
Però en comptes de connectar-se només al seu dispositiu, el sistema va començar a rebre dades de milers d’altres robots repartits per tot el món. En només nou minuts, l’eina ja havia localitzat 6.700 robots en 24 països i acumulat més de 100.000 missatges.
Quina informació es podia veure?
Aquests missatges incloïen números de sèrie, estances i mapes interiors dels habitatges, nivells de bateria, recorreguts i fins i tot els punts on els robots tornaven a la base. Una bretxa que exposava dades privades de molts usuaris.
La clau estava en l’ús d’un token privat del seu propi robot per autenticar-se com a client legítim. El problema: el backend de la marca no limitava correctament les consultes que es podien fer després.
La tecnologia darrere de l’error i la resposta de la marca
El paper de la intel·ligència artificial
Per entendre i desxifrar els protocols de comunicació, Sammy va utilitzar la IA Claude Code, que li va ajudar a fer enginyeria inversa de manera més ràpida i efectiva.
Aquest ús d’intel·ligència artificial va ser clau per revelar la vulnerabilitat que la marca després va reconèixer oficialment com a un “problema de validació de permisos de backend”.
Les mesures i la seva efectivitat
La companyia va llançar un primer parche el 8 de febrer i un segon el 10 de febrer per solucionar la bretxa. Però segons testimonis, inclòs el mateix Sammy, encara es podien veure robots connectats enviant dades després d’aquests intents de reparació.
Això posa en dubte la rapidesa i eficàcia en la resposta a vulnerabilitats que afecten dispositius domèstics connectats.
Implications per la ciberseguretat i els dispositius connectats a casa
El risc dels aparells connectats
Els robots aspiradors no són només netejadors: molts compten amb sensors, càmeres i micròfons. Això significa que un fallo de seguretat pot obrir una porta molt més gran de privacitat i seguretat al nostre habitatge.
Comenta Azdoufal, i molts experts coincideixen, que el mercat prioritza la comoditat sobre la seguretat, deixant molts dispositius exposats a riscos importants.
Les iniciatives de control i regulació
El 2025, els Estats Units van crear el US Cyber Trust Mark, una etiqueta que identifica dispositius que compleixen requisits mínims de seguretat i actualització.
Aquesta iniciativa busca conscienciar tant fabricants com consumidors de la necessitat de protegir les «portes digitals» que s’afegeixen a les llars amb cada nou dispositiu connectat.
| Aspecte | Descripció |
|---|---|
| Nombre de robots afectats | 6.700 en 24 països |
| Tipus d’informació filtrada | Mapes interiors, recorreguts, números de sèrie, nivell bateria |
| Causes del problema | Validació insuficient de permisos al backend |
| Resposta de la marca | Dues actualitzacions de seguretat, però problema persistent |
