La rebelión de las aspiradoras: un usuario descubre que la suya le espía

Imagínate a un desconocido conduciendo un ordenador con cámara por tu salón, mal rollo ¿no? Pues eso es lo que le ha pasado a Harishankar, un ingeniero con un "buen tipo de paranoia", como él mismo se define, que compró una aspiradora (puede que demasiado) inteligente, Tras un año de uso, por defecto de profesión, decidió monitorizar el tráfico de red del aparato, lo cual le llevo a descubrir un goteo constante de paquetes de datos viajando a servidores en la otra punta del mundo, enviando logs y telemetría sin su consentimiento. "Ya sabía que muchas empresas nos 'espían', pero esto me parecía demasiado", explicó.

Su reacción fue, en principio, simple: bloqueó la dirección IP a la que se enviaban los registros. No las actualizaciones de firmware, solo los datos. "Pensé que era suficiente", relata, y, durante unos días, así fue, hasta que una mañana, la aspiradora se negó a encenderse.

Desde ese momento, el ingeniero se vio atrapado en un ciclo kafkiano de reparaciones: el servicio técnico la devolvía diciendo "aquí funciona perfectamente, señor", para que dejara de funcionar a los pocos días de vuelta en casa. "Comencé a sentir que estaba perdiendo la cabeza", confiesa el ingeniero.

Tras repetir este ciclo varias veces, el servicio técnico acabó lavándose las manos: "Fuera de garantía". Su aspiradora de 300 dólares (260 euros) se había convertido en un pisapapeles, fue entonces cuando Harishankar cogió un destornillador y decidió ir a la guerra y reclamar su derecho a la privacidad.

El interior del panóptico doméstico

Al abrir el dispositivo, se encontró un ordenador con ruedas. El aspirador contaba con una CPU AllWinner A33 ejecutando un sistema operativo Linux completo (TinaLinux), un microcontrolador GD32F103 gestionando motores y sensores, y un sistema LIDAR.

El usuario relata que escribió scripts en Python para interactuar con los sensores desde un PC y construyó su propio sistema de control con un Raspberry Pi para poder manejar la aspiradora manualmente con un joystick. Le había ganado la batalla al hardware, pero ahora tocaba pelearse con el software.

Mientras probaba el puerto de depuración USB, descubrió que el Android Debug Bridge (ADB) estaba abierto, sin contraseña ni autenticación. En segundos, tenía acceso de administrador total. No hizo falta hackear nada; era una puerta abierta de par en par. Tras sortear un mecanismo que cortaba el acceso unos segundos tras el arranque, consiguió habilitar SSH y acceder permanentemente al sistema. Dentro, encontró los registros, las configuraciones y, lo más alarmante, las credenciales WiFi de su red, en texto plano, que el dispositivo había estado enviando a los servidores del fabricante.

Pero el descubrimiento crucial estaba en los scripts de inicio del sistema. En el directorio /etc/init.d/, uno de ellos había sido modificado para impedir que se lanzara la aplicación principal. No era un fallo, era un comando intencionado. En los logs, una línea era la prueba irrefutable:

2024/02/29, 14:06:55.852622 [LogKimbo][CAppSystemState] Handle message! cmdid 501 RSCTRLREMOTEEVENT...

La hora coincidía exactamente con el momento en que su aspiradora dejó de funcionar. Alguien había emitido remotamente una orden de "matar" el dispositivo.

Castigado por proteger su privacidad

Aquel toma y daca con el servicio técnico por fin tenía sentido. Cuando él bloqueaba una red, la aspiradora usaba cachés DNS para alcanzar IPs alternativas. En el servicio técnico, la flasheaban y conectaban a una red abierta, donde se reconectaba con la "matriz" y era revivida. Al volver a su casa, con su firewall, se apagaba de nuevo.

"Nuestros hogares están llenos de cámaras, micrófonos y sensores móviles conectados a empresas que apenas conocemos"

El fabricante tenía la capacidad de desactivar dispositivos de forma remota y la usó contra él por bloquear su recolección de datos. "Llamémoslo por su nombre: represalia", sentencia Harishankar. Hoy, su aspiradora funciona completamente offline. Sin nube, sin rastreo, sin acceso de extraños. Es un robot local que hace solo lo que su dueño le ordena.