Fallo crítico: Un error en la validación de permisos de la aspiradora robótica DJI ROMO permitió a un usuario acceder a datos de 6.700 dispositivos en 24 países en solo nueve minutos.
No es necesario llenar la casa de gadgets para depender de la nube. Un robot aspirador conectado basta para que parte de su información circule por servidores externos, accesible desde cualquier lugar. Sin embargo, esta comodidad se tambalea cuando surgen dudas sobre quién puede acceder a esos datos. Un reciente incidente con la DJI ROMO reveló cómo un fallo de seguridad expuso información sensible de miles de hogares antes de ser corregido.
Curiosidad convertida en riesgo: Todo comenzó con un experimento inocente. Sammy Azdoufal, directivo de estrategia de IA en una empresa de alquiler vacacional, quiso controlar su aspiradora DJI ROMO con un mando de PS5 «por diversión». Para lograrlo, desarrolló una aplicación casera que interactuaba con los servidores de DJI. Lo que no esperaba era que, en lugar de responder solo su dispositivo, aparecieran miles de robots en distintos países, todos reconociéndolo como su propietario legítimo.
En una demostración en directo, Azdoufal mostró cómo su herramienta detectaba dispositivos en tiempo real. En solo nueve minutos, identificó 6.700 robots en 24 países y recopiló más de 100.000 mensajes emitidos por ellos. Cada aspiradora enviaba datos cada pocos segundos a través del protocolo MQTT, incluyendo su número de serie, ubicación, distancia recorrida y estado de carga.
¿Cómo ocurrió? Azdoufal no necesitó hackear los servidores de DJI en el sentido tradicional. Analizó cómo su propia ROMO se comunicaba con la infraestructura de la compañía y extrajo el token privado de su dispositivo, la credencial que lo autenticaba ante el sistema. Usó la herramienta de IA Claude Code para descifrar los protocolos mediante ingeniería inversa. El problema: una vez autenticado, los servidores no limitaron qué mensajes podía recibir, permitiéndole acceder a datos de otros dispositivos.
La respuesta de DJI y las medidas tomadas
DJI asegura que detectó la vulnerabilidad a finales de enero mediante una revisión interna y actuó de inmediato. El 8 de febrero desplegó un primer parche, seguido de una segunda actualización el 10 de febrero para cubrir los nodos que no recibieron la corrección inicial. La compañía admitió un «problema de validación de permisos de backend» en la comunicación MQTT, aunque minimizó el impacto, calificando el acceso no autorizado como «extremadamente raro». También destacó que la transmisión estaba cifrada con TLS y que los datos de dispositivos europeos se almacenan en servidores de AWS en Estados Unidos.
Preguntas sin respuesta sobre la seguridad de los dispositivos conectados
Si un usuario pudo descubrir esta exposición casi por accidente, surge la duda: ¿cómo se auditan estos sistemas antes de lanzarlos al mercado? La DJI ROMO no es un electrodoméstico común, sino un dispositivo con sensores, cámara y conectividad permanente dentro del hogar. Azdoufal incluso cuestionó la presencia de un micrófono en una aspiradora, un debate que no es nuevo. En los últimos años, otros fabricantes han enfrentado incidentes similares con robots que transmitían vídeo o almacenaban imágenes sin consentimiento.
DJI ROMO: más que una aspiradora
Tras dominar el mercado de drones y sistemas de estabilización, DJI aplicó su ingeniería al ámbito doméstico con la ROMO. Este robot aspirador combina sensores ópticos y LiDAR para generar mapas precisos y evitar obstáculos, respaldado por algoritmos de planificación y la app DJI Home para gestionar zonas y alertas. No es un simple electrodoméstico, sino una plataforma conectada que depende de datos en tiempo real para funcionar con precisión. Y es ahí donde la seguridad se vuelve crucial.
¿Estamos preparados para los riesgos de la domótica? Este incidente con la DJI ROMO no es un caso aislado, pero sí un recordatorio de los peligros de integrar dispositivos conectados en el hogar sin garantías suficientes. La comodidad no debería sacrificar la privacidad.
Lecturas relacionadas:
– Cada cuánto debemos cambiar todas nuestras contraseñas según expertos en ciberseguridad
– Protocolos de seguridad en dispositivos IoT: qué falla y cómo protegerse
– Los riesgos de los electrodomésticos inteligentes: casos reales y recomendaciones
