Un experto descubrió una falla masiva en aspiradoras robot DJI Romo, permitiendo acceso a cámaras y planos de casas de 7,000 usuarios en 24 países con un simple token. Un agujero de privacidad digital que sacude el mundo conectado.
Miles de aspiradoras robot DJI Romo, equipadas con cámara, quedaron expuestas a un control remoto inesperado por un solo usuario. Sammy Azdoufal, un estratega de IA residente en Barcelona, fue quien destapó esta vulnerabilidad crítica, afectando al menos 7,000 dispositivos en 24 naciones, con potencial acceso a más de 10,000 unidades.
Según la investigación publicada por The Verge, este incidente pone en jaque la seguridad del creciente mercado de dispositivos inteligentes para el hogar, valorado en más de 100 mil millones de dólares a nivel global. La revelación resalta los riesgos inherentes cuando la conveniencia tecnológica choca con protocolos de seguridad insuficientes, dejando al descubierto información privada de los usuarios en un entorno cada vez más conectado.
Un control inesperado sobre 7,000 aspiradoras ajenas
Lo que comenzó como un experimento divertido para Sammy Azdoufal, quien solo quería manejar su nueva aspiradora DJI Romo con un control de PlayStation 5, se transformó rápidamente en una escalofriante revelación. Al conectar su aplicación casera a los servidores de DJI, no solo respondía su propio dispositivo; de repente, cerca de 7,000 aspiradoras robot en 24 países distintos comenzaron a reconocerlo como su “jefe”. Esto le otorgaba un control remoto total, permitiéndole ver y escuchar a través de sus cámaras en vivo, mapear los planos 2D completos de las viviendas y hasta ubicar geográficamente los robots mediante sus direcciones IP.
Durante una demostración en vivo, la magnitud del problema se hizo evidente. En apenas 9 minutos, la laptop de Azdoufal había catalogado 6,700 dispositivos DJI y recogido más de 100,000 mensajes de datos MQTT. Estos mensajes, enviados cada 3 segundos, detallaban números de serie, habitaciones limpiadas, lo que habían visto, distancias recorridas y el nivel de batería restante. Si se sumaban las estaciones de energía portátil DJI Power, la cifra de dispositivos accesibles superaba las 10,000 unidades, un testimonio del alcance global y la interconectividad de la empresa china.
¿Un simple “token” basta para espiar miles de hogares?
La mecánica detrás de este acceso masivo es sorprendentemente sencilla y preocupante. Azdoufal asegura que no realizó ningún hackeo tradicional, ni infringió reglas, ni usó fuerza bruta. Su método consistió en extraer el “token” privado de su propia aspiradora DJI Romo, una clave digital que autentica su acceso a sus propios datos en los servidores de DJI. La falla radicó en que, una vez autenticado, los servidores no aplicaban controles de acceso adecuados y le entregaban los datos de miles de otros usuarios. Es como si una llave de tu casa, inesperadamente, abriera la puerta de todo un vecindario. Este token, que se supone es una medida de seguridad individual, se convirtió en una puerta abierta a la privacidad ajena.
El dilema de la seguridad en el hogar inteligente global
El mercado de dispositivos inteligentes para el hogar ha experimentado un crecimiento exponencial, proyectando ventas de más de 300 millones de unidades solo en este año. Sin embargo, esta conveniencia viene con un coste de seguridad cada vez más alto. La promesa de una casa conectada, donde cada dispositivo “habla” con la nube, ha creado una red compleja y a menudo vulnerable. La preocupación por la privacidad, especialmente con la presencia de cámaras y micrófonos en objetos cotidianos como una aspiradora, ha impulsado debates a nivel mundial sobre la regulación y los estándares de seguridad.
¿Qué tan vulnerables son realmente nuestros dispositivos conectados?
La problemática va más allá de DJI. La historia reciente está plagada de ejemplos de fallas de seguridad en el hogar inteligente. En 2024, aspiradoras robot Ecovacs fueron intervenidas, permitiendo a hackers perseguir mascotas y emitir mensajes ofensivos. Un año después, en 2025, agencias surcoreanas reportaron que el Dreame X50 Ultra tenía una vulnerabilidad para visualizar transmisiones de cámara en tiempo real, y otros modelos de Ecovacs y Narwal permitían el robo de fotos. Incluso marcas como Wyze y Eufy de Anker han enfrentado acusaciones de ocultar o minimizar problemas de seguridad significativos, poniendo en riesgo la confianza de millones de usuarios que invierten en tecnología para su hogar.
DJI admite una “validación de permisos” fallida tras una corrección inicial insuficiente
Inicialmente, DJI intentó minimizar la situación. El martes, la portavoz Daisy Kong afirmó que el problema se había resuelto “la semana pasada”, con remediación ya en marcha antes de la divulgación pública. Sin embargo, Azdoufal demostró ese mismo día que miles de robots, incluyendo la unidad de revisión de The Verge, seguían reportando datos. Ante la evidencia, DJI emitió una nueva declaración, admitiendo una “validación de permisos de backend” en su comunicación MQTT entre dispositivos y servidores. Confirmaron haber implementado un parche inicial el 8 de febrero y una actualización de seguimiento el 10 de febrero, pero solo la segunda fue “aplicada universalmente”.
De enero a febrero: una carrera contra el tiempo
DJI afirma haber identificado la vulnerabilidad internamente a finales de enero de 2024, y que la solución se implementó automáticamente, sin necesidad de acción por parte del usuario. No obstante, la experiencia de Azdoufal y The Verge sugiere que la corrección no fue tan rápida ni completa como se indicó inicialmente. El incidente plantea serias dudas sobre la capacidad de la empresa para detectar y resolver fallas críticas de manera proactiva, y sobre su transparencia al comunicar estos problemas a sus usuarios, cuya privacidad está directamente comprometida. La credibilidad en el sector tecnológico depende de una respuesta rápida y, sobre todo, honesta ante fallas de seguridad.
¿Se puede confiar plenamente en que estos dispositivos no sean puertas traseras?
Aunque DJI ha cerrado el “agujero” principal, Azdoufal advierte que no todas las vulnerabilidades han sido corregidas. Señala, por ejemplo, que aún es posible ver la transmisión de video de su propia aspiradora Romo sin necesidad de ingresar el PIN de seguridad, y menciona otra falla aún más grave que prefiere no detallar públicamente por seguridad. Expertos como Kevin Finisterre refuerzan que la encriptación de datos a un servidor en EE. UU. no impide necesariamente el acceso a empleados de DJI en China, ya que “TLS solo protege la tubería, no lo que hay dentro de ella de otros participantes autorizados”. Este incidente no solo destaca la negligencia en la seguridad de DJI, sino que también reabre el debate sobre la seguridad de los datos sensibles en la nube y la necesidad urgente de auditorías independientes y regulaciones más estrictas para proteger a los usuarios globales de los riesgos inherentes a un mundo cada vez más digitalizado.
Crédito de imagen: Fuente externa
