Prueba de seguridad de robots aspiradores: ¿una fiable ayuda doméstica o un limpiador chivato?
Los robots aspiradores son los vencedores en la evolución digital. Se encargan por sí solos de una tarea de limpieza detestada y ahorran mucho tiempo. Para ello, estos prácticos ayudantes están llenos de sensores que acumulan información sobre su área de trabajo y se comunican por WiFi, servicios de nube y aplicaciones. ¿Pagan los usuarios el uso de este tipo de ayuda doméstica digital con la revelación de datos privados? Los expertos en IoT de AV-TEST han comprobado la seguridad y la política de privacidad de cuatro dispositivos Premium actuales, ¡para ver si guardaban trapos sucios!
Sin duda, recoger y limpiar no están entre las actividades favoritas de la mayoría de las personas. Y, quien se lo puede permitir, deja esas tareas en manos de personal de limpieza profesional. Sin embargo, esto es también una cuestión de confianza, puesto que quien limpia en hasta el último rincón de la casa, irremediablemente averigua mucho sobre sus habitantes. Aquellos desconfiados a los que les dé pereza limpiar pueden al menos delegar el monótono trabajo de pasar el aspirador a uno de los cada vez más numerosos robots aspiradores. El riesgo de que estos inspeccionen en secreto los armarios o escritorios es nulo. Sin embargo, casi todos los aspiradores Premium disponen de extensas funciones en línea que exigen una continua conexión a Internet. Esta prueba muestra si los ayudantes de limpieza digitales espían a su propietarios o si dejan intacta su esfera privada.
De juguetes para nerds a ayuda inteligente
No hace tanto que los robots aspiradores eran considerados aún peyorativamente como juguetes de lujo para solteros afines a la tecnología y nerds de los hogares inteligentes. Pero, entretanto, estos dispositivos han ganado puntos gracias a sus buenos resultados de limpieza, un buen rendimiento y muchas funciones. Y así hace tiempo que se han convertido en fiables ayudantes domésticos que hacen cada día su trabajo en cada vez más hogares. Uno de cada cinco aspiradores vendidos en todo el mundo por Amazon es hoy un robot, y la tendencia es al alta. Y no solo en línea, también en el comercio al por menor crece en gran medida la aceptación y las ventas de limpiadores inteligentes. Según un estudio reciente de la asociación digital Bitkom, un 15 por ciento de los hogares alemanes tiene previsto comprar uno de estos robots domésticos este año; el año pasado eran poco más de la mitad (8 %).
Un 15 por ciento de todos los hogares alemanes tiene previsto comprar un robot doméstico. Esto viene a ser el doble que el año pasado.
En 2002, el modelo Roomba del fabricante iRobot era el primer "robovac" de éxito comercial en "barrer" la alfombra roja. El fabricante estadounidense, que puede alardear de haber introducido en todo el mundo los robots aspiradores, sigue manteniendo una cuota superior al 50 por ciento del mercado mundial. Pero, entretanto, sobre todo en la categoría de precios más elevada, también están presentes en el mercado los fabricantes de aspiradores tradicionales con tecnología propia o bien adquirida. Los expertos en IoT del instituto AV-TEST han examinado minuciosamente la seguridad de la comunicación interna por WiFi, el tráfico de datos vinculado a servicios de nube, la seguridad de las aplicaciones correspondientes, así como las disposiciones sobre protección de datos de los siguientes aspiradores high end:
Repletos de sensores
Todos los modelos Premium examinados en la prueba cuentan con numerosos sensores. A diferencia de los dispositivos notablemente más baratos, los aspiradores high end ofrecen recorridos de limpieza mucho más eficientes y minuciosos. Sensores ultrasónicos, infrarrojos y láser, así como cámaras, permiten una mejor orientación y una navegación específica y evitan, por ejemplo, arañazos en los muebles frenando a tiempo. No obstante, estos dispositivos registran un número notablemente superior de detalles sobre el lugar de uso que los dispositivos más económicos, que, de acuerdo con el principio del caos, simplemente avanzan en línea recta hasta que el sensor de contacto (bumper) les obliga a cambiar de dirección tras chocar contra una pared u objeto.
Todos los aspiradores examinados en la prueba generan mapas, más o menos detallados, para la navegación y los ponen a disposición de sus propietarios a través de la aplicación. En el caso de los dispositivos examinados, estos mapas y otros datos se transfieren a la nube del fabricante a través de las aplicaciones del teléfono móvil. Mediante estas aplicaciones se lleva a cabo también, en algunos modelos, la configuración del robot, así como su manejo. Para ello, los robots se conectan a la WiFi de la casa, haciendo posible, por ejemplo, el ponerlos en marcha remotamente. Así mismo, los aspiradores emiten mensajes de estado por medio de este canal.
Una imagen precisa de la vivienda
Los mapas de limpieza (cleaning maps) elaborados por los robots durante la prueba presentaban, en parte, planos muy detallados de los lugares de uso. En ellos aparece no solo la distribución, sino también las puertas y ventanas. Si unimos a esto la asunción de que los usuarios ponen su robot a trabajar cuando no están en casa, se puede extrapolar de ello en teoría un potencial riesgo y la necesidad de proteger esta información. Dado que los robots crean un mapa nuevo cada vez que se les ordena limpiar y lo adaptan sobre la marcha, estos detectan también cambios en la casa. Por ejemplo, cuando una maleta deja de obstaculizar el pasillo.
En consonancia con la cantidad de información que los robots recogen y envían a través de sus sensores, los expertos en IoT de AV-TEST comprobaron la seguridad de la comunicación de las conexiones de datos locales entre el robot y la aplicación (a través de la WiFi), así como la conexión a Internet externa entre el servicio de nube y la aplicación.
La comunicación local apenas es crítica
La forma menos crítica de intercambiar datos es la comunicación local, ya que esta tiene lugar entre la aplicación y el robot en un lugar muy delimitado dentro de la WiFi de la casa. Los atacantes tendrían que hallarse en el área de emisión del enrutador o del robot aspirador, es decir, en las inmediaciones. El Kobold VR300 de Vorwerk renuncia a la comunicación local y no es vulnerable por esta vía. El canal de comunicación entre el Roomba 980 y la aplicación está protegido mediante el protocolo de encriptación TLS 1.2. La primera configuración del iRobot tiene lugar a través de una conexión WiFi que ha de activarse manualmente y no está protegida por una contraseña. No obstante, la comunicación está también completamente encriptada con TLS 1.2.
El 360 Eye lleva a cabo el intercambio de datos con la aplicación mediante el protocolo de mensajes abierto para la comunicación máquina a máquina MQTT. Para este protocolo cliente-servidor también está disponible la encriptación TLS, sin embargo, Dyson no lo hace uso de ella actualmente para la comunicación local de su dispositivo insignia y ofrece así a los atacantes, al menos teóricamente, un punto débil en la WiFi local que pueden aprovechar. Los examinadores observaron vulnerabilidades semejantes en la transmisión de datos del aspirador Premium chino Roborock S55. Este envía sus datos sin encriptar a través del protocolo de red UDP y asimismo revela a los atacantes un flanco al descubierto.
La comunicación externa está casi siempre bien protegida
En lo relativo a la comunicación externa, mucho más relevante para los ataques, tres de los cuatro candidatos demostraron en el laboratorio de pruebas defenderse en toda regla. Tanto el Dyson, como el iRobot y el Kobold de Vorwerk utilizan para la comunicación con los servicios de nube vinculados y para el intercambio de datos entre la nube y la aplicación la segura encriptación TLS en su versión 1.2. En el caso del Roborock, por el contrario, los examinadores detectaron tráfico de ondas en parte sin encriptar, ya que el aspirador de Xiaomi utiliza para la comunicación externa, en parte, conexiones UDP sin encriptar. Estas se pueden interceptar y manipular, por ejemplo, en el marco de un ataque de intermediario (MITM). También se hallaron posibilidades de atacar en las conexiones encriptadas con TLS. Debido al control insuficiente de certificados en las conexiones encriptadas, los examinadores pudieron manipular flujos de datos y leer su contenido.
Hay que tener en cuenta que el Roborock, al igual que los demás productos para el hogar inteligente de Xiaomi, es dirigido desde una aplicación central. De este modo, los atacantes no solo tienen acceso al robot aspirador, sino también a componentes críticos del fabricante de productos para el hogar inteligente. Podría tratarse de detectores de humos, contactos de puertas y ventanas o cámaras IP. Por lo tanto, les sería posible sabotear la protección contra incendios de una vivienda, espiar a sus habitantes mediante la cámara o desactivar la protección antirrobo. El control de todos los componentes Smart Home desde una aplicación es extremadamente confortable, pero no solo para los usuarios, sino también para los atacantes. El gigante chino del hogar inteligente haría bien, por tanto, en eliminar los agujeros de seguridad existentes en la comunicación de datos, especialmente porque es de esperar que otro peso pesado del mercado del hogar inteligente abra a la red Xiaomi su paleta de productos en rápido crecimiento: En la AIoT Developer Conference de Pekín de noviembre de 2018, Ikea anunció en el marco de una asociación con Xiaomi, que abriría de inmediato, para algunos de sus productos, interfaces a la plataforma IoT de Xiaomi. En las primeras pruebas, la serie de iluminación de Ikea Tradfri obtuvo buenos resultados en materia de seguridad. Sin embargo, en el momento de la prueba no había la posibilidad de manejar las lámparas fuera de la WiFi de la casa. Por eso, AV-TEST va a volver a examinar los productos Tradfri con acceso en línea.
Seguridad de la aplicación: ¿fisgonea Xiaomi?
En la aplicación de Xiaomi, los examinadores también se toparon con defectos de seguridad críticos. Por un lado, el fabricante se atribuye numerosos derechos de acceso para su aplicación en el teléfono móvil, cuya necesidad para el uso de los productos para el hogar inteligente no es directamente evidente. Entre ellos están, por ejemplo, el acceso a ajustes del sistema del móvil críticos para la seguridad. Por otro lado, la aplicación de Xiaomi no solo está extremadamente ávida de conocimiento, sino que además contiene numerosos módulos de terceros. La aplicación puede enviar los datos de uso, por ejemplo, a Facebook, Alibaba, el proveedor de servicios financieros asociado Alipay, la plataforma de alquiler Airbnb, el gigante del comercio chino Tencent y otros servicios en línea. En la prueba se comprobó asimismo que la aplicación no protege suficientemente información sensible. Así, los examinadores pudieron leer información sensible de carpetas de la aplicación en teléfonos móviles rooteados.
Interfaces a otros servicios y protección de datos
No solo Xiaomi e Ikea van a intercambiar en el futuro datos de productos de hogar inteligente. También iRobot anunció a finales de octubre de 2018 una asociación con Google similar. La valoración de los mapas de limpieza elaborados por los robots, de acuerdo con la nota de prensa, facilitará la configuración y el uso de los dispositivos inteligentes. Por ejemplo, se podrá ordenar al aspirador que solo limpie determinadas habitaciones mediante comandos de voz a través del Google Assistant. Y los usuarios deberían poder controlar sistemas de iluminación interconectados y otros componentes del hogar inteligente para áreas específicas de la vivienda. Es dudoso que los clientes compartan el entusiasmo de los fabricantes respecto al intercambio de datos. En una entrevista a The Verge, la directora de Smart Home de Google, Michele Chambers Turner, prometió por eso enseguida que los mapas del iRobot no se combinarían con otros datos registrados por Google.
También los otros candidatos de la prueba se promocionan con extensas funciones que exigen la integración de otras plataformas, como el control mediante el asistente de voz de Amazon Alexa. Aún hay que esperar para saber hasta qué punto iRobot y su nuevo socio Google, así como los otros proveedores, cumplen sus promesas; algo difícil de averiguar para los usuarios.
Pero durante su uso, los robots aspiradores no solo recaban datos de su entorno o información sobre los usuarios. Los dispositivos comprueban también, por ejemplo, el estado de sus propios sensores o de piezas de desgaste, que se han de cambiar periódicamente, como filtros de aire o los cepillos laterales y el principal. Tras un número determinado de recorridos de limpieza, los dispositivos informan al usuario de la necesidad de reemplazarlos. En principio, esta función es útil para mantener el rendimiento del dispositivo. Sin embargo, al mismo tiempo permite a los fabricantes comprobar si los usuarios utilizan los robots de acuerdo con las condiciones de garantía. Si se detectan desviaciones y se transmiten al fabricante, este podría, según la legislación del país de venta, excluirlo de la garantía. Aparte de esto, es posible que los usuarios tengan que acostumbrarse en el futuro a que el aspirador solicite nuevos filtros mediante un chat o incluso pida él mismo un nuevo cepillo principal de un comercio en línea.
Política de privacidad: Dyson y Vorwerk se llevan la palma
Sea lo que sea que los fabricantes tienen previsto hacer con la información de los robots aspiradores y sobre sus propietarios, tienen que indicarlo con transparencia en sus políticas de privacidad. Por eso, AV-TEST examinó minuciosamente los derechos de uso de datos que se otorgan Dyson, iRobot, Vorwerk y Xiaomi.
Ejemplar es la actitud de Vorwerk. En la política de privacidad del Kobold VR300, el fabricante alemán promete registrar solo datos que sean necesarios para el funcionamiento del robot. Vorwerk tiene la intención de usar los datos de este fondo que se utilicen con fines estadísticos y para mejorar el producto siempre de forma anonimizada. El fabricante procesa ese tipo de datos en sus sedes principales en Alemania y Suiza, así como en EE. UU., donde los aspiradores son producidos bajo licencia por el fabricante estadounidense Neato. Vorwerk garantiza, no obstante, en la política de privacidad el cumplimiento de los estándares de protección de datos de la UE en todas sus sedes. Igualmente loable es la política de privacidad de Dyson. En un resumen fácilmente comprensible, el fabricante enumera los puntos más importantes y pone adicionalmente a disposición información exhaustiva sobre cada punto. También Dyson promete la reducción a los datos necesarios y el uso anonimizado.
La política de privacidad de iRobot no es tan clara, muy larga y muy detallada. Los examinadores tuvieron que tragarse once páginas escritas en letra pequeña con un total de casi 7000 palabras. El texto es rebuscado y difícil de entender y llama la atención el que en ningún sitio se hable de un uso anonimizado de los datos. El fabricante al menos indica la colaboración con otras empresas como Google. Además, iRobot se otorga derechos de uso de datos que no deberían ser necesarios para el empleo del robot aspirador. Esta es una cita de la política de privacidad en cuanto a la información personal que recopila el fabricante: «Información demográfica y de estilo de vida, como su edad, fecha de nacimiento, sexo, salario u otros ingresos, ocio y otros intereses, número de hijos y número de mascotas e información sobre su entorno familiar.» Este tipo de formulaciones no inspira confianza.
Xiaomi no pone en Google Play store ninguna política de privacidad específica para el Roborock. En su lugar se remite a las disposiciones del sitio web del fabricante. Tras la instalación de la aplicación, los clientes reciben, no obstante, información sobre el uso de los datos generados durante el uso del Roborock. De acuerdo con esta, la información sobre el cliente registrada se utiliza en todo el grupo Xiaomi con fines comerciales. Además del continuo flujo de datos a terceros durante los recorridos de limpieza supervisados en la prueba, la política de privacidad del fabricante no da la impresión de que vayan a respetar la esfera privada. Tampoco se haya en la política de privacidad información sobre el intercambio de datos con socios como Ikea, que podrían utilizar los planos de la vivienda registrados por Roborock, por ejemplo, para hacer publicidad sobre sus muebles.
Conclusión
Dos aspiradores Premium convencieron gracias a la transmisión segura de datos y a su aplicación bien protegida: iRobot y Vorwerk. Las políticas de privacidad de Vorwerk y Dyson cumplieron todas las exigencias informativas de los examinadores. Aunque iRobot en su política de privacidad se permite un extenso registro de datos, sin duda innecesario para el funcionamiento del dispositivo, los clientes al menos tienen la posibilidad de saberlo con antelación. En total, el Roomba 980 de iRobot, así como el Kobold VR300 de Vorwerk merecieron en la breve prueba la máxima puntuación de tres estrellas. El 360 Eye de Dyson recibió solo dos de las tres estrellas posibles debido a la comunicación local parcialmente sin encriptar. Sin embargo, al fabricante no le debería resultar difícil eliminar este punto débil. Debido a las deficiencias en seguridad en la transmisión de datos, algunas de ellas graves, la transferencia de datos a terceros, la inexplicable sed de datos de la aplicación, así como la notable necesidad de mejora de la política de privacidad respecto al trato de los datos del cliente, el Roborock S55 solo consiguió una de las tres estrellas posibles. En lo referente a la seguridad de los datos y de la protección de la esfera privada, el instituto AV-TEST no puede recomendar este robot aspirador.