Falla en aspiradoras ROMO expone miles de hogares: acceden a cámaras y mapas internos

Una vulnerabilidad en las aspiradoras robot DJI ROMO ha dejado al descubierto la privacidad de miles de usuarios en 24 países, permitiendo el acceso remoto a cámaras y planos detallados de las viviendas. El fallo, identificado por el experto en inteligencia artificial Sammy Azdoufal, puso en jaque la seguridad de al menos 7.000 dispositivos, evidenciando los riesgos crecientes de la digitalización en el hogar.

Privacidad en riesgo: control remoto y acceso a datos personales

Todo comenzó como un simple experimento doméstico, pero pronto se transformó en un hallazgo globalmente preocupante. Azdoufal, quien pretendía conectar su aspiradora ROMO a un mando de PlayStation 5, descubrió que, al extraer el token privado de su propio dispositivo, podía acceder a los datos y controles de miles de aspiradoras en diferentes países.

Su laptop, en apenas nueve minutos, logró identificar 6.700 dispositivos y recopilar más de 100.000 mensajes de datos, incluyendo imágenes en vivo, planos de viviendas y ubicaciones IP.

Lo alarmante de la falla es lo sencillo de su explotación. El sistema de autenticación implementado por DJI permitía que, con un solo token, se pudiera acceder a la información de otros usuarios, funcionando como una llave universal inesperada. De esta forma, no solo era posible manejar remotamente los robots, sino también visualizar imágenes de las cámaras y recorrer los mapas internos de los hogares ajenos.

El mercado de dispositivos inteligentes

El caso de las aspiradoras ROMO es un ejemplo contundente de los desafíos que enfrenta el mercado de dispositivos inteligentes para el hogar. Con más de 300 millones de unidades vendidas anualmente, la proliferación de objetos conectados ha creado una red compleja, donde cada aparato puede convertirse en un punto vulnerable.

La presencia de cámaras y micrófonos en dispositivos cotidianos agudiza la preocupación por la privacidad y pone sobre la mesa la necesidad de regulaciones y estándares de seguridad más estrictos.

La investigación de The Verge subraya cómo la comodidad de la conectividad puede dejar al descubierto información personal sensible, desde imágenes y audio en tiempo real hasta mapas precisos de los espacios habitados.

DJI responde y soluciona la vulnerabilidad de ROMO

Frente a la repercusión del descubrimiento, la empresa en cuestión actuó rápidamente para solucionar la falla en sus robots aspiradores. Según explicó Daisy Kong, portavoz de la compañía, el problema se debía a una vulnerabilidad en la validación de permisos del backend, específicamente en la comunicación MQTT entre los dispositivos y los servidores.

Es pertinente señalar que esta brecha, identificada internamente a finales de enero, creó un potencial acceso no autorizado a los videos en directo de los ROMO.

“DJI puede confirmar que el problema se resolvió la semana pasada y que la corrección ya estaba en marcha antes de la divulgación pública”, señaló Kong en un comunicado al medio citado. La empresa implementó dos parches: uno inicial el 8 de febrero y otro el 10 de febrero para asegurar que la solución llegara a todos los nodos de servicio.

DJI aclaró que no se trataba de un fallo en el cifrado de las comunicaciones, sino en los controles de acceso, y que los incidentes reales fueron muy limitados y vinculados a pruebas de investigadores independientes. Tras recibir el informe de Azdoufal, la compañía ha declarado que el problema ya está completamente resuelto y que “no hay evidencia de un impacto más amplio”.

Este caso pone de manifiesto la urgencia de reforzar la seguridad en el entorno doméstico inteligente, donde una simple brecha puede abrir las puertas a la privacidad de miles de hogares en todo el mundo.