Seguridad: Un error en robot aspirador expone 6.700 dispositivos

Un desarrollador colombiano trabajando en tecnología descubrió una vulnerabilidad crítica en el robot aspirador DJI ROMO que le permitió acceder a miles de dispositivos conectados en todo el mundo. La falla residía en cómo el sistema validaba los permisos de autenticación, permitiendo que un usuario autorizado viera información de dispositivos que no le pertenecían. DJI ya implementó parches de seguridad tras detectar el problema a finales de enero.

¿Qué pasó con el DJI ROMO?

La historia comenzó de forma inocente. Sammy Azdoufal, un directivo de estrategia en una empresa de alquiler vacacional, quería divertirse controlando su robot aspirador DJI ROMO usando un mando de PS5 en lugar del control remoto tradicional. Con ese objetivo, desarrolló una aplicación casera que se comunicaba con los servidores de DJI para enviar comandos a su dispositivo. Nada parecía fuera de lo ordinario hasta que algo inesperado ocurrió.

Cuando Azdoufal comenzó a probar su herramienta, los servidores no solo reconocieron su aspiradora. Empezaron a aparecer miles de dispositivos adicionales distribuidos en 24 países diferentes, y el sistema los trataba como si todos le pertenecieran. Durante una demostración en directo, catalogó más de 6.700 robots aspiradores y recopiló más de 100.000 mensajes enviados por ellos en apenas nueve minutos.

Este descubrimiento puso en relieve un problema más profundo en la arquitectura de seguridad de la plataforma conectada de DJI. No se trataba de un acceso fortuito, sino de un problema sistemático en cómo el backend validaba los permisos cuando múltiples dispositivos se comunicaban simultáneamente.

Detalles técnicos: cómo ocurrió la vulnerabilidad

Para explotar esta vulnerabilidad, Azdoufal no necesitó hackear servidores en el sentido tradicional. Lo que hizo fue analizar cómo su propio robot aspirador se comunicaba con la infraestructura de DJI e identificar el token privado o credencial que permite la autenticación del dispositivo. Utilizó Claude Code, una herramienta de inteligencia artificial, como asistente en el proceso de ingeniería inversa para comprender los protocolos de comunicación.

El verdadero problema surgió después de la autenticación. Una vez que Azdoufal obtuvo credenciales válidas como cliente del sistema, los servidores de DJI no limitaban adecuadamente a qué información podía suscribirse. Esto significa que el sistema validaba que fuera un usuario legítimo, pero no verificaba si ese usuario tenía permiso para acceder a dispositivos específicos. Los robots enviaban constantemente información a través de un protocolo llamado MQTT, incluyendo número de serie, ubicación, distancia recorrida y estado de carga, sin restricciones.

Aunque los datos viajaban cifrados mediante TLS (una capa de seguridad estándar en internet), la falla residía en la lógica de control de acceso del backend. DJI ha reconocido oficialmente "un problema de validación de permisos" en la comunicación MQTT entre dispositivos y servidores.

La respuesta de DJI y las medidas tomadas

La compañía china comunicó que detectó la vulnerabilidad internamente a finales de enero de este año. Iniciaron la corrección de inmediato, desplegando un primer parche el 8 de febrero y una segunda actualización el 10 de febrero para cubrir sistemas que no habían recibido la corrección inicial. DJI también subrayó que, aunque existía la vulnerabilidad, el acceso no autorizado fue "extremadamente raro" en la práctica.

Sin embargo, la empresa fue más cautelosa respecto a otras cuestiones. Cuando se le cuestionó sobre características como la presencia de un micrófono integrado en el robot aspirador, DJI no proporcionó respuestas claras. Esta omisión renovó debates más amplios sobre la privacidad en dispositivos inteligentes del hogar que tienen cámaras, sensores y micrófonos permanentemente conectados.

Impacto en Colombia y Latinoamérica

Aunque DJI ROMO es un producto de gama alta, este incidente tiene implicaciones importantes para los usuarios colombianos de dispositivos inteligentes del hogar. En Colombia, la adopción de tecnología smart home crece entre segmentos de ingresos altos en Bogotá, Medellín y Cali, pero existe poco conocimiento sobre los riesgos de seguridad asociados. La Superintendencia de Industria y Comercio (SIC) no cuenta con regulaciones específicas sobre auditorías de seguridad en dispositivos conectados antes de su comercialización, a diferencia de mercados como Europa con el RGPD.

Este caso plantea preguntas incómodas: si un usuario puede descubrir accidentalmente una vulnerabilidad de esta magnitud, ¿cuántas otras vulnerabilidades existen en productos que usamos diariamente? ¿Qué tan rigurosos son los procesos de auditoría interna de fabricantes extranjeros antes de lanzar productos en Latinoamérica? Para usuarios colombianos que compran dispositivos inteligentes, la lección es clara: no todos los productos con certificaciones internacionales tienen los mismos estándares de seguridad.

Qué esperar a partir de ahora

Este incidente no es aislado. Otros fabricantes de robots aspiradores y dispositivos inteligentes han enfrentado vulnerabilidades similares en años recientes. La tendencia es preocupante porque refleja un patrón: la carrera por innovar y conectar dispositivos a menudo ocurre más rápido que la implementación de controles de seguridad robustos. Para DJI, este descubrimiento podría impactar su expansión en el mercado de robots aspiradores, donde compite contra fabricantes como Ecovacs y iRobot.

Los usuarios deben mantener sus dispositivos actualizados y ser conscientes de qué información comparten. Para el futuro, es necesario que reguladores en Colombia y América Latina establezcan estándares mínimos de seguridad obligatorios antes de que dispositivos conectados lleguen al mercado. La seguridad no debe ser una característica adicional, sino un requisito fundamental desde el diseño.

Si quieres conocer otros artículos parecidos a Seguridad: Un error en robot aspirador expone 6.700 dispositivos puedes visitar la categoría Gadgets y Hardware.