Las ultimas noticias de todo el mundo

acabó teniendo acceso a 6.700 dispositivos en todo el mundo

acabó teniendo acceso a 6.700 dispositivos en todo el mundo

DJI ROMO: Cómo un usuario descubrió que podía acceder a datos de miles de aspiradoras conectadas

La era de los hogares inteligentes ha traído consigo una paradoja fascinante: mientras nuestros electrodomésticos se vuelven más inteligentes y conectados, también se vuelven más vulnerables. No necesitas una casa llena de dispositivos IoT para depender de la nube; basta con un simple robot aspirador conectado para que parte de tu información personal pase por servidores externos y sea accesible desde cualquier lugar. Este modelo se ha normalizado hasta el punto de que lo damos por sentado, pero esa normalidad se resquebrajó recientemente cuando surgieron serias dudas sobre quién puede ver qué en nuestros hogares conectados.

El descubrimiento accidental que sacudió a DJI

La historia comienza de manera bastante inocente. Sammy Azdoufal, un directivo de estrategia de IA en una empresa de alquiler vacacional, simplemente quería controlar su propia DJI ROMO con un mando de PS5 «porque era divertido», según explicó a The Verge. Para lograrlo, desarrolló una aplicación casera que comenzó a comunicarse con los servidores de DJI. Lo que ocurrió después fue completamente inesperado.

En lugar de que solo respondiera su aspiradora, miles de dispositivos comenzaron a aparecer en su pantalla, repartidos por distintos países, reconociéndolo como si fuera su propietario legítimo. No estamos hablando de un fallo menor; estamos hablando de un agujero de seguridad que expuso los datos de miles de hogares en todo el mundo.

Qué podía ver y controlar realmente

Durante una demostración en directo que dejó atónitos a los expertos en seguridad, Azdoufal mostró cómo su herramienta iba detectando dispositivos en tiempo real. En apenas nueve minutos, había catalogado 6.700 robots en 24 países y recopilado más de 100.000 mensajes enviados por ellos. Cada dispositivo reportaba información cada pocos segundos a través de un protocolo llamado MQTT, habitual en dispositivos conectados, indicando su número de serie, qué estancia estaban limpiando, cuánto habían recorrido o cuándo regresaban a la base de carga.

Pero aquí viene lo más preocupante: según Azdoufal, no necesitó «hackear» los servidores de la compañía en el sentido clásico. Lo que hizo fue analizar cómo se comunicaba su propia ROMO con la infraestructura de DJI y extraer el token privado asociado a su dispositivo, es decir, la credencial que le permite autenticarse ante el sistema. Para descifrar estos protocolos, recurrió a Claude Code, la conocida herramienta de IA que utilizó como apoyo en el proceso de ingeniería inversa.

El problema, siempre según su versión, es que una vez autenticado como cliente válido, los servidores no limitaron adecuadamente qué mensajes podía suscribirse a recibir. En términos técnicos, los permisos de backend no validaron correctamente los límites de acceso, permitiendo que un solo token tuviera visibilidad sobre miles de dispositivos.

La respuesta oficial de DJI

La compañía sostiene que detectó la vulnerabilidad a finales de enero mediante una revisión interna y que inició la remediación de inmediato. Según su comunicado oficial, desplegó un primer parche el 8 de febrero y una segunda actualización el 10 de febrero para cubrir los nodos que no habían recibido la corrección inicial.

DJI admite «un problema de validación de permisos de backend» relacionada con la comunicación MQTT entre dispositivo y servidor, aunque asegura que el acceso no autorizado fue «extremadamente raro». También subraya que la transmisión estaba cifrada mediante TLS y que los datos de dispositivos europeos se almacenan en infraestructura de AWS ubicada en Estados Unidos.

Sin embargo, la explicación oficial no ha logrado calmar las preocupaciones de los usuarios, especialmente considerando que el descubrimiento fue hecho por un usuario curioso, no por un auditor de seguridad profesional.

Preguntas incómodas sobre la seguridad en IoT

Si un usuario pudo detectar ese nivel de exposición casi por accidente, cabe preguntarse cómo se auditan internamente estos sistemas y qué controles existen antes de que un producto llegue al mercado. No hablamos de un electrodoméstico cualquiera, sino de un dispositivo con sensores, cámara y conectividad permanente dentro del hogar.

El propio Azdoufal cuestionaba incluso la presencia de un micrófono en una aspiradora. No es un debate nuevo: en los últimos años, otros fabricantes han afrontado incidentes similares con robots capaces de transmitir vídeo o almacenar imágenes. Recordemos que en 2023, iRobot enfrentó críticas por sus prácticas de recopilación de datos, y Ecovacs ha tenido sus propios problemas de seguridad.

DJI ROMO: Cuando la innovación supera a la seguridad

Tras años dominando el aire con drones y sistemas de estabilización, la compañía decidió aplicar su ingeniería al suelo doméstico. El resultado fue DJI ROMO, un robot aspirador que combina sensores ópticos y LiDAR para generar mapas precisos y evitar obstáculos, apoyado en algoritmos de planificación y en la app DJI Home para gestionar zonas, modos y alertas.

No es un simple electrodoméstico mecánico, sino una plataforma conectada que depende de datos continuos para funcionar con esa precisión. Y ahí es donde la seguridad adquiere un papel determinante. Cuando un dispositivo puede mapear tu hogar, conocer tus rutinas y estar conectado permanentemente, las consecuencias de una brecha de seguridad van mucho más allá de la simple exposición de datos.

El futuro de los hogares conectados

Este incidente plantea preguntas fundamentales sobre el futuro de los hogares inteligentes. ¿Estamos dispuestos a sacrificar privacidad por conveniencia? ¿Cómo podemos confiar en que las empresas implementarán medidas de seguridad adecuadas cuando la prisa por lanzar productos al mercado a menudo supera las consideraciones de seguridad?

La respuesta de DJI ha sido rápida, pero el incidente revela un problema más profundo en la industria de IoT: la seguridad a menudo se considera una característica opcional en lugar de un requisito fundamental. Mientras los consumidores continúen adoptando estos dispositivos sin exigir garantías de seguridad adecuadas, incidentes como este probablemente se repetirán.

Etiquetas virales: #DJIROMO #RobotAspirador #SeguridadIoT #Hackeo #Privacidad #DispositivosConectados #Ciberseguridad #HogarInteligente #FiltracionDeDatos #Tecnologia #DJI #MQTT #Cloud #Vulnerabilidad #Innovacion #RiesgoDigital #DatosPersonales #IA #ClaudeCode #TheVerge #Xataka

Frases virales para redes sociales:

  • «Tu aspiradora podría estar espiando miles de hogares»
  • «El día que DJI aprendió que la seguridad no es opcional»
  • «Cuando la curiosidad revela un agujero de seguridad gigante»
  • «6.700 robots expuestos por un simple token mal validado»
  • «La innovación sin seguridad es solo un riesgo esperando a ocurrir»
  • «Tu hogar inteligente podría no ser tan seguro como crees»
  • «El experimento que cambió para siempre la percepción de los dispositivos IoT»

,

tusultimasnoticias_df6zj5

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *