DJI soluciona un fallo de seguridad que permitía controlar miles de robots aspiradores DJI ROMO y acceder a sus cámaras

El investigador Sammy Azdoufal logró controlar un robot aspirador DJI ROMO desde Barcelona usando únicamente el número de serie del aparato, lo que incluyó la posibilidad de elaborar un plano 2D del domicilio y determinar la ubicación aproximada del dispositivo gracias a su dirección IP. El medio The Verge verificó la vulnerabilidad tras exponer su propio robot a pruebas, confirmando así la alarma que presentó el descubridor del fallo. A raíz de estos hechos, se reveló que la privacidad de los usuarios de aspiradores inteligentes estuvo expuesta durante un tiempo indeterminado, ya que más de 7.000 dispositivos distribuidos en 24 países permitieron el acceso remoto a sus cámaras, micrófonos y a datos como rutinas de limpieza y características técnicas de funcionamiento, según publicó The Verge.

La compañía DJI lanzó la gama de robots aspiradores ROMO en octubre del año pasado. Estos dispositivos, disponibles en tres versiones, integran funciones avanzadas de fregado y navegan usando tecnologías de detección y mapeo inspiradas en los drones de la marca. El modelo ROMO P, que representa la propuesta más sofisticada del catálogo, incluye un compartimento para desodorizante y una estación de carga transparente, con un precio inicial de 1.899 euros. Sin embargo, la atención sobre las capacidades técnicas de estos robots se vio opacada por el reporte de una brecha de seguridad que permitía a terceros no autorizados tomar control total de los dispositivos y observar a los usuarios en sus hogares, según consignó The Verge.

De acuerdo con la publicación, el incidente se originó cuando Sammy Azdoufal, director de estrategia de IA de Emerald Stay y desarrollador de aplicaciones, experimentó de manera personal la vulnerabilidad. Tras intentar interactuar con su propio robot utilizando un control de PS5, Azdoufal desarrolló una aplicación de control remoto a través de IA. Este ensayo llevó a que conectara con los servidores de DJI, y descubriera que recibía respuesta de alrededor de 7.000 aspiradores en diversos países. Esto le permitió no solo dirigir remotamente estos aparatos sino también acceder al video en tiempo real de sus cámaras, escuchar los audios de sus micrófonos y consultar información como el número de serie, las habitaciones limpiadas, el nivel de batería y los obstáculos detectados, precisó The Verge.

El investigador relató que el acceso se produjo mediante la obtención del token privado de su propio robot, que habilita la autenticación con los servidores de la empresa. Según sus declaraciones reproducidas por The Verge, tras enviar ese token, los sistemas de DJI también le ofrecieron acceso a información y controles de miles de otros usuarios, sin que se necesitara vulnerar filtros de seguridad adicionales como ataques de fuerza bruta o elusiones de permisos. Este acceso se extendió hasta alcanzar más de 10.000 dispositivos en 24 países. Además, Azdoufal sostuvo que en ningún momento transgredió las condiciones de uso y que solo trabajó con los datos de su propio robot, revelando el alcance del problema sin incurrir en prácticas ilegales, reportó The Verge.

DJI, por su parte, reconoció la existencia de la vulnerabilidad en su sistema de gestión DJI Home. Según explicó la portavoz de la compañía, Daisy Kong, en un comunicado enviado a The Verge, la brecha se originaba por un defecto en la validación de permisos en la comunicación de fondo entre los dispositivos y el servidor, utilizando el protocolo MQTT. El “potencial teórico” de acceso no permitido a video en directo se volvió real en una pequeña cantidad de casos, principalmente bajo condiciones de prueba llevadas a cabo por expertos en ciberseguridad, según declaró la empresa.

Conforme detalló la tecnológica a The Verge, dos actualizaciones de software resolvieron progresivamente la situación. El primer parche se desplegó el 8 de febrero y la actualización que completó la protección se ejecutó el 10 de febrero, no requiriendo intervención de los usuarios finales. Sin embargo, el primer arreglo no cubrió la totalidad de los nodos de servicio, por lo que fue necesario el despliegue adicional para asegurar todos los puntos de acceso a la red, lo que implicó reactivar y reiniciar a cada nodo.

Una vez recibido el informe directo de Azdoufal, DJI confirmó que la vulnerabilidad había sido subsanada en su totalidad, sin evidencia de que los accesos indebidos se extendieran más allá de contextos de investigación. Además, la empresa puntualizó que no se trataba de una deficiencia en el cifrado de las transmisiones: la información intercambiada entre dispositivos y servidores no viajaba en texto sin cifrar, según consigna The Verge.

Según DJI, la empresa implementa estándares rigurosos de seguridad y protección de datos, con protocolos de respuesta rápida ante cualquier hallazgo de riesgos potenciales. La compañía mantiene inversiones en fortalecimiento del cifrado y administra un programa de recompensas para identificar vulnerabilidades, explicó la vocera. A pesar de haber resuelto la brecha puntual, persiste la advertencia de que el cierre de esta acceso específico no elimina la posibilidad de que aparezcan nuevas vías de entrada a los sistemas de control de los robots, como advirtió Azdoufal y recogió The Verge.

Actualmente, el desarrollador ya no dispone de acceso remoto a los robots DJI ROMO. Aun así, compartió con The Verge la existencia de otro fallo relacionado con la gama de aspiradores que permanece sin solución, aunque por motivos de seguridad no se divulgaron detalles de esa segunda vulnerabilidad ni su magnitud. Esta situación plantea cuestionamientos sobre la seguridad a largo plazo de los dispositivos domésticos inteligentes, enfatizó el medio.