Lo que comenzó como un experimento doméstico ha desembocado en uno de los descubrimientos más curiosos del momento, de pasar de usar un mando de consola para controlar su aspirador a ser capaz de controlar más de 7.000 robot aspiradores.
Un fallo crítico en el sistema
El ingeniero, Sammy Azdoufal, estaba desarrollando una aplicación propia para manejar el dispositivo con un joystick. El dispositivo en cuestión es el DJI Romo, una aspiradora autónoma lanzada inicialmente en China y actualmente en expansión internacional. El robot, al igual que cualquier robot de este tipo, incorpora sensores avanzados para navegación, detección de obstáculos y mapeo del hogar, además de control remoto mediante aplicación móvil.
Para conseguir el control a través del joystick, ha analizado cómo el robot se comunicaba con los servidores remotos del fabricante y ha utilizado Claude, el asistente de inteligencia artificial desarrollado por Anthropic, para comprender el funcionamiento de la API y el sistema de autenticación. Durante ese proceso detectó un fallo crítico: el sistema de autenticación no verificaba correctamente la propiedad individual del dispositivo. Esto le permitía hacer uso, no solo de las funciones propias del aspirador, sino también de sus sensores, micrófonos, mapas e incluso las cámaras, y no solo del suyo propio.
Cámaras, mapas y ubicación en tiempo real
La consecuencia ha sido significativa. Azdoufal ha podido visualizar en tiempo real las cámaras integradas en aproximadamente 7.000 aspiradoras distribuidas en 24 países. También ha tenido acceso a audio captado por sus micrófonos, mapas bidimensionales de las viviendas donde operaban y datos de estado del dispositivo.
El propio ingeniero insiste en que no realizó ningún “hackeo” activo, sino que simplemente se topó con un error de diseño mientras intentaba desarrollar su aplicación personalizada. Sin embargo, mediante las direcciones IP asociadas, era posible aproximar incluso la ubicación geográfica de los equipos.
Solución rápida a un problema estructural
Tras hacerse público el hallazgo, el fabricante ha implementado dos actualizaciones automáticas para corregir la vulnerabilidad en cuestión de días, sin requerir intervención por parte de los usuarios. La compañía ha asegurado que continuará reforzando sus medidas de seguridad, aunque no ha detallado las mejoras adicionales previstas.
Sin embargo, este tipo de situaciones ponen en relieve una debilidad estructural del ecosistema IoT. Para funcionar correctamente, dispositivos como el DJI Romo necesitan recopilar constantemente datos visuales del entorno y enviar parte de esa información a servidores remotos, y no es algo aislado; empresas como Ring, propiedad de Amazon, también se han enfrentado a controversias relacionadas con la privacidad y la seguridad. En los últimos años, la compañía ha sido objeto de críticas por accesos no autorizados a cámaras domésticas y por la cesión de imágenes a fuerzas de seguridad sin orden judicial en determinados casos. Desde el punto de vista de la seguridad, representa un objetivo atractivo para posibles ciberatacantes.
Si (
No(
