El ingeniero de software Harishankar Narayanan descubrió que su robot aspiradora iLife A11 enviaba constantemente datos a servidores en China y contenía una puerta trasera (backdoor) que permitía el control remoto total del dispositivo.

Tras bloquear las direcciones IP a las que el dispositivo enviaba constantemente datos, la aspiradora dejó de funcionar, revelando luego que el fabricante podía apagar o reactivar el dispositivo a distancia. El hallazgo expone graves riesgos de seguridad y privacidad en millones de aparatos domésticos inteligentes fabricados por la empresa china 3irobotix, proveedor de marcas como Xiaomi, Wyze, Viomi y Proscenic.

“La envié al servicio técnico. Me dijeron que funcionaba perfectamente. La devolvieron y volvió a encenderse unos días… hasta que volvió a morir”, relató Narayanan en su blog Small World.

Lo que parecía una simple falla técnica escondía algo mucho más grave: una puerta trasera activa utilizada para controlar o inutilizar el dispositivo de forma remota.

Con la garantía ya vencida, Narayanan abrió el dispositivo para entender por qué había “muerto”. Lo que encontró, entre otras vulnerabilidades potencialmente peligrosas, fue que el dispositivo ejecutaba Linux con cámara y sensores activos, acceso root posible tras modificar algunas rutinas del sistema, credenciales WiFi sin cifrar enviadas a servidores del fabricante y que la aspiradora usaba Google Cartographer, una potente herramienta de mapeo SLAM (Simultaneous Localization and Mapping), diseñada para crear mapas 3D del entorno, con la posibilidad de usarse para espiar el diseño del hogar y patrones de movimiento de sus habitantes.

El hallazgo más grave fue un registro del sistema con una marca de tiempo exacta: alguien había accedido remotamente al robot y modificado el script de inicio, impidiendo que el sistema principal arrancara. Dentro del software, el ingeniero descubrió un paquete llamado “rtty”, una herramienta que permite control total remoto del dispositivo: modificar archivos, ejecutar comandos o instalar scripts, todo sin que el usuario lo sepa.

Narayanan comprobó que, al conectar la aspiradora a una red abierta, el fabricante podía “revivirla” remotamente, pero al bloquear la conexión otra vez, el dispositivo quedaba inutilizable. El desarrollador compartió su hallazgo con Cybernews, revelando que muchas otras marcas utilizan el mismo hardware y software provistos por el fabricante 3irobotix. 

El investigador de ciberseguridad Aras Nazarovas, de Cybernews, explicó que la presencia de herramientas como “rtty” en dispositivos domésticos es sumamente preocupante. “Este tipo de software permite un control total y podría usarse para extraer datos, activar cámaras o mapear espacios privados. Es una invasión silenciosa”, advirtió. Incluso si la puerta trasera fue implementada con fines de prueba o mantenimiento, dejarla activa en versiones comerciales es una grave negligencia de seguridad. «Es una amenaza real” , advirtió el especialista.

Los expertos recomiendan medidas básicas para reducir riesgos con dispositivos IoT (Internet de las Cosas):

• Separar la red doméstica: crear una red WiFi exclusiva para dispositivos inteligentes.
• Mantener firmware actualizado: aplicar parches y actualizaciones del fabricante.
• Limitar la telemetría: bloquear comunicaciones innecesarias hacia servidores externos.
• Usar firewall o VLAN: para evitar conexiones directas con equipos personales.
• Revisar permisos de aplicaciones: especialmente las que piden acceso a micrófono o cámara.

El caso ha abierto un debate internacional sobre la seguridad en los dispositivos inteligentes, especialmente aquellos con sensores, cámaras o conexión constante a la nube. Una simple aspiradora inteligente puede transformarse en una herramienta de vigilancia o sabotaje, si no se supervisa adecuadamente su diseño y seguridad.

Fuente: Laboratorio Linux