Una vulnerabilidad en las aspiradoras robot DJI ROMO expuso la privacidad de miles de usuarios en 24 países, permitiendo el acceso remoto a cámaras y a planos detallados de las viviendas. El fallo, detectado por el investigador en inteligencia artificial Sammy Azdoufal, afectó al menos a 7.000 dispositivos y puso en evidencia los riesgos asociados a la creciente digitalización del hogar.
Privacidad en riesgo: control remoto y acceso a datos personales
El hallazgo surgió de un experimento doméstico que terminó revelando un problema de alcance internacional. Azdoufal intentaba conectar su aspiradora ROMO a un mando de PlayStation 5 cuando, al extraer el token privado de su propio dispositivo, comprobó que podía acceder a datos y controles de miles de aspiradoras en distintos países.
En solo nueve minutos, su portátil identificó 6.700 dispositivos y recopiló más de 100.000 mensajes de datos, entre los que había imágenes en vivo, planos de viviendas y direcciones IP.
Lo preocupante es la facilidad de explotación: el sistema de autenticación de DJI permitía que un único token actuara como una llave que daba acceso a la información de otros usuarios. Así era posible controlar los robots a distancia, ver las imágenes captadas por sus cámaras y explorar los mapas internos de domicilios ajenos.
El mercado de dispositivos inteligentes y los desafíos de la seguridad digital
El caso de las ROMO ejemplifica los retos que enfrenta el mercado de dispositivos inteligentes para el hogar. Con cientos de millones de aparatos conectados en circulación, cada dispositivo puede convertirse en un punto vulnerable dentro de una red doméstica compleja.
La inclusión de cámaras y micrófonos en objetos cotidianos intensifica las preocupaciones sobre la privacidad y subraya la necesidad de regulaciones y estándares de seguridad más estrictos.
La investigación de The Verge destaca cómo la comodidad de la conectividad puede dejar al descubierto información sensible, desde imágenes y audio en tiempo real hasta mapas detallados de los espacios habitados.
DJI responde y soluciona la vulnerabilidad de ROMO
Tras la divulgación del descubrimiento, DJI actuó rápidamente para corregir la falla. Daisy Kong, portavoz de la compañía, explicó que el problema se originó en la validación de permisos del backend, concretamente en la comunicación MQTT entre los dispositivos y los servidores.
La brecha, detectada internamente a finales de enero, permitía potencialmente el acceso no autorizado a videos en directo de los ROMO.
“DJI puede confirmar que el problema se resolvió la semana pasada y que la corrección ya estaba en marcha antes de la divulgación pública”, declaró Kong a The Verge. La empresa aplicó dos parches: uno inicial el 8 de febrero y otro el 10 de febrero para garantizar la propagación de la solución a todos los nodos de servicio.
DJI indicó que la falla no residía en el cifrado de las comunicaciones sino en los controles de acceso, y que los incidentes reales fueron muy limitados y vinculados a pruebas de investigadores independientes. Tras recibir el informe de Azdoufal, la compañía asegura que el problema está completamente resuelto y que “no hay evidencia de un impacto más amplio”.
Este caso enfatiza la urgencia de reforzar la seguridad en el entorno doméstico inteligente, dado que una sola brecha puede comprometer la privacidad de miles de hogares en todo el mundo.
