Prendió su robot aspirador y terminó espiando a miles de personas: la falla que sacude a internet

Un incidente de ciberseguridad vinculado a dispositivos domésticos conectados a internet volvió a poner bajo la lupa los riesgos de estos dispositivos. Un usuario aseguró haber podido acceder, de forma involuntaria, a información operativa de miles de robots aspiradores fabricados por DJI en distintos países, antes de que la compañía corrigiera la vulnerabilidad mediante actualizaciones de software.

El caso se originó cuando Sammy Azdoufal, directivo de estrategia de inteligencia artificial en una empresa de alquiler vacacional, intentó conectar su propio robot aspirador a un mando de PlayStation 5 como un experimento personal.

Para ello desarrolló una aplicación casera que comenzó a comunicarse con los servidores del fabricante. Según su testimonio, el sistema no solo respondió a su dispositivo, sino que también mostró actividad de miles de equipos distribuidos en todo el mundo que lo identificaban como si fuera su propietario.

Durante una demostración, Azdoufal explicó que su herramienta detectó 6.700 robots en 24 países en apenas nueve minutos y recopiló más de 100.000 mensajes enviados por estos dispositivos. La información incluía datos técnicos como números de serie, estado de funcionamiento, habitaciones que estaban siendo limpiadas, distancia recorrida o momentos de retorno a la base de carga.

Estos datos se transmitían de manera periódica mediante MQTT, un protocolo habitual en dispositivos conectados que permite el intercambio constante de información entre equipos y servidores.

El usuario afirmó que no “hackeó” la infraestructura en el sentido tradicional, sino que analizó cómo su propio dispositivo se autenticaba frente al sistema. Al extraer el token privado asociado al robot —la credencial digital que valida la comunicación con los servidores— logró descifrar el funcionamiento del protocolo.

Para asistir en ese proceso utilizó herramientas de análisis apoyadas en inteligencia artificial desarrolladas por Anthropic. Según su versión, una vez autenticado como cliente legítimo, los sistemas no limitaron adecuadamente el acceso a los mensajes de otros dispositivos.

DJI sostuvo que detectó el problema a finales de enero durante una revisión interna y que actuó de inmediato para solucionarlo. La empresa indicó que desplegó un primer parche el 8 de febrero y una segunda actualización el 10 de febrero para corregir nodos que no habían recibido la solución inicial.

En un comunicado, reconoció un “problema de validación de permisos de backend” relacionado con la comunicación MQTT, aunque aseguró que los accesos no autorizados fueron “extremadamente raros”.

La compañía también subrayó que las comunicaciones estaban cifradas mediante TLS y que los datos correspondientes a usuarios europeos se almacenaban en infraestructura de Amazon Web Services ubicada en Estados Unidos. Según el fabricante, no se comprometieron credenciales personales ni información sensible de las cuentas.

Más allá del alcance concreto del incidente, el episodio reavivó preguntas sobre los mecanismos de auditoría y control en productos conectados que operan dentro del hogar. A diferencia de los electrodomésticos tradicionales, estos dispositivos integran sensores, cámaras, conectividad permanente y sistemas de mapeo del entorno, lo que implica una circulación constante de datos hacia servidores externos para ofrecer funciones remotas, actualizaciones y automatización.

El robot implicado forma parte de la expansión de DJI hacia el mercado doméstico tras años centrada en drones, estabilizadores y sistemas de captura aérea. El equipo combina sensores ópticos y tecnología LiDAR para generar mapas de interiores, evitar obstáculos y optimizar rutas de limpieza, capacidades que dependen del procesamiento continuo de información.

Especialistas en ciberseguridad han advertido en reiteradas ocasiones que el crecimiento del internet de las cosas amplía la superficie de ataque digital, ya que cada dispositivo conectado actúa como un punto potencial de acceso si no se aplican controles estrictos de autenticación y segmentación de datos. Incidentes similares en años recientes han involucrado cámaras, timbres inteligentes y otros equipos capaces de recopilar imágenes o telemetría del entorno doméstico.

El caso ilustra cómo la comodidad de gestionar aparatos desde el teléfono o a distancia —una práctica cada vez más normalizada— implica también desafíos técnicos y regulatorios en materia de privacidad, almacenamiento de información y supervisión de infraestructuras que ya forman parte de la vida cotidiana.