Un hombre que solo quería conectar su nueva aspiradora robot a un control de PlayStation terminó destapando una falla de seguridad que dejó expuestos los hogares de miles de personas en todo el mundo.
DJI, la empresa detrás de los robots Romo, pagará 30.000 dólares a Sammy Azdoufal por descubrir una vulnerabilidad que permitió acceder y controlar remotamente cerca de 7.000 dispositivos a nivel global.
Cómo fue el descubrimiento accidental de una vulnerabilidad masiva
Sammy Azdoufal no se propuso vulnerar la seguridad de ningún aparato. Según relató, su intención era únicamente manejar su nueva aspiradora DJI Romo con un mando de PS5 porque le parecía divertido. Para lograrlo, desarrolló una aplicación casera que le permitiera controlar el dispositivo a distancia.
Sin embargo, al conectar su app con los servidores de DJI, Azdoufal se encontró con una situación inesperada: no solo su robot respondió a la señal, sino que miles de aspiradoras de todo el mundo comenzaron a tratarlo como si fuera su dueño legítimo.
El acceso era tan completo que podía ver y escuchar a través de las cámaras integradas, observar cómo los dispositivos mapeaban las habitaciones y hasta generar planos detallados de las casas.
En una demostración en vivo, Azdoufal mostró cómo su laptop, en apenas nueve minutos, había identificado 6.700 dispositivos DJI repartidos en 24 países distintos y recopilado más de 100.000 mensajes que incluían datos sobre las tareas de limpieza, distancias recorridas, obstáculos detectados y horarios de recarga.
A través de una simple consulta con el número de serie de cualquier robot, podía obtener información en tiempo real: desde el estado de la batería hasta el plano exacto del espacio que limpiaba. Además, fue capaz de acceder a la transmisión de video en directo, incluso saltándose el sistema de PIN de seguridad.
Cómo funcionaba el acceso no autorizado
Lo más llamativo es que Azdoufal no utilizó técnicas de hackeo avanzadas ni forzó sistemas de seguridad. Simplemente extrajo el token privado de su propio robot, una credencial que, en teoría, solo debería permitir el acceso a su dispositivo personal. Sin embargo, al utilizar este token, los servidores de DJI le otorgaron acceso a los datos de miles de otros robots y sus usuarios.
El sistema de comunicación de estos robots se basa en el protocolo MQTT, que transmite información cada pocos segundos entre los dispositivos y la nube. Azdoufal demostró que era posible suscribirse a todos los mensajes que circulaban por el servidor y recibir información de cada aparato conectado, sin restricciones ni controles de acceso por tema.
“El problema es que una vez que eres un cliente autenticado en el broker MQTT, si no existen controles de acceso a nivel de tópico, puedes suscribirte a temas comodín y ver todos los mensajes en texto plano en la capa de aplicación”, explicó Azdoufal. En otras palabras, el cifrado TLS solo protege el canal de transmisión, pero no impide que cualquier usuario autenticado vea el contenido de todos los dispositivos si no existen filtros internos.
Este fallo no suponía únicamente un riesgo hipotético. Azdoufal realizó pruebas junto a terceros, como el CTO de una consultora francesa, quien pudo ver la transmisión de su propia aspiradora antes de emparejarla oficialmente. El hallazgo evidenció que la privacidad de los usuarios estaba en juego, ya que cualquier persona con conocimientos mínimos y acceso al token podía observar la vida cotidiana de desconocidos.
Cómo será la recompensa que recibirá
Cuando DJI fue alertada sobre la situación, la empresa declaró que ya había comenzado a abordar algunas de las vulnerabilidades antes de que Azdoufal las demostrara públicamente. No obstante, la magnitud y facilidad del acceso sorprendieron tanto a la compañía como a los expertos en seguridad.
En un primer momento, la compañía afirmó que el problema estaba resuelto y que la remediación había comenzado antes de la divulgación pública. Sin embargo, Azdoufal y The Verge pudieron comprobar que, aún después de que la empresa asegurara haber desplegado un parche, miles de robots seguían accesibles desde el exterior.
Finalmente, procedió a cerrar el agujero de seguridad en todos sus nodos de servicio. El acceso remoto no autorizado quedó bloqueado de manera definitiva al día siguiente de la demostración pública, cortando incluso el acceso legítimo de Azdoufal a su propio robot.
La empresa decidió recompensar a Azdoufal con $30.000 por su hallazgo, aunque no especificó cuál de las vulnerabilidades reportadas motivó el pago. DJI confirmó que había “recompensado” a un investigador de seguridad anónimo y que ya había solucionado el problema que permitía ver la transmisión de video sin PIN. Además, anunció que estaba trabajando en la actualización integral de su sistema y que preveía implementar todas las mejoras en el plazo de un mes.
Últimas Noticias
Qué es Character AI y por qué millones de usuarios conversan con personajes creados por inteligencia artificial
Los usuarios pueden hablar con personajes ficticios, figuras históricas o crear sus propios bots con personalidad
Elon Musk lanza su propio PayPal: así es X Money, la nueva plataforma para hacer pagos
La aplicación se integrará con X y funcionará como billetera digital, pero por ahora no tendrá pagos con criptomonedas
Free Fire: códigos gratis de hoy miércoles 11 de marzo de 2026 para obtener recompensas exclusivas
Garena publica una nueva lista de códigos promocionales que permiten desbloquear objetos premium, monedas y diseños únicos
El avance de la inteligencia artificial autónoma revoluciona la automatización en el entorno corporativo
Herramientas digitales especializadas optimizan los procesos diarios y promueven nuevos perfiles profesionales en el ecosistema laboral
¿Cómo dominar el mundo por 5 décadas? La lección de un gigante en el 50 aniversario de Apple
Tim Cook contó que el legado de Steve Jobs sigue en el ADN, guiando cada decisión y orientando la visión de la empresa
