El sorprendente caso de un ingeniero que controló 6.700 robots aspiradores
¿Qué harías si un experimento casero te permitiera controlar miles de robots aspiradores en todo el mundo? Esto es exactamente lo que le pasó a Sammy Azdoufal, un ingeniero que vive en Barcelona y solo quería manejar su aparato con un mando de PS5.
Lo que parecía un juego se convirtió en un descubrimiento inesperado: a través de una aplicación propia, acabó conectándose a 6.700 robots en 24 países, accediendo a información sensible y mapas interiores de casas. Una pesadilla para la ciberseguridad doméstica.
¿Cómo ocurrió este fenómeno inesperado?
El proyecto inicial y la conexión global
Sammy solo quería un control más cómodo para su robot aspirador. Creó una app casera que interceptaba la comunicación entre el robot y el servidor de la marca.
Pero en vez de conectarse solo a su dispositivo, el sistema empezó a recibir datos de miles de otros robots repartidos por todo el mundo. En solo nueve minutos, la herramienta ya había localizado 6.700 robots en 24 países y acumulado más de 100.000 mensajes.
¿Qué información se podía ver?
Estos mensajes incluían números de serie, estancias y mapas interiores de las viviendas, niveles de batería, recorridos e incluso los puntos donde los robots volvían a la base. Una brecha que exponía datos privados de muchos usuarios.
La clave estaba en el uso de un token privado de su propio robot para autenticarse como cliente legítimo. El problema: el backend de la marca no limitaba correctamente las consultas que se podían hacer después.
La tecnología detrás del error y la respuesta de la marca
El papel de la inteligencia artificial
Para entender y descifrar los protocolos de comunicación, Sammy utilizó la IA Claude Code, que le ayudó a hacer ingeniería inversa de manera más rápida y efectiva.
Este uso de inteligencia artificial fue clave para revelar la vulnerabilidad que la marca luego reconoció oficialmente como un “problema de validación de permisos de backend”.
Las medidas y su efectividad
La compañía lanzó un primer parche el 8 de febrero y un segundo el 10 de febrero para solucionar la brecha. Pero según testimonios, incluido el propio Sammy, todavía se podían ver robots conectados enviando datos tras esos intentos de reparación.
Esto pone en duda la rapidez y eficacia en la respuesta a vulnerabilidades que afectan dispositivos domésticos conectados.
Implicaciones para la ciberseguridad y los dispositivos conectados en casa
El riesgo de los aparatos conectados
Los robots aspiradores no son solo limpiadores: muchos cuentan con sensores, cámaras y micrófonos. Esto significa que una falla de seguridad puede abrir una puerta mucho más grande de privacidad y seguridad en nuestro hogar.
Comenta Azdoufal, y muchos expertos coinciden, que el mercado prioriza la comodidad sobre la seguridad, dejando muchos dispositivos expuestos a riesgos importantes.
Las iniciativas de control y regulación
En 2025, Estados Unidos creó el US Cyber Trust Mark, una etiqueta que identifica dispositivos que cumplen requisitos mínimos de seguridad y actualización.
Esta iniciativa busca concienciar tanto a fabricantes como a consumidores de la necesidad de proteger las «puertas digitales» que se añaden a los hogares con cada nuevo dispositivo conectado.
| Aspecto | Descripción |
|---|---|
| Número de robots afectados | 6.700 en 24 países |
| Tipo de información filtrada | Mapas interiores, recorridos, números de serie, nivel batería |
| Causas del problema | Validación insuficiente de permisos en el backend |
| Respuesta de la marca | Dos actualizaciones de seguridad, pero problema persistente |
