Error impactante. Un entusiasta quería controlar su robot aspirador con un gamepad, pero en su lugar hackeó miles de modelos

Los robots aspiradores con cámaras y conexión a internet pueden, en algunos casos, representar un riesgo de seguridad, como han comprobado ahora los propietarios de DJI Romo. Un entusiasta, en un intento inocente de controlar su aspirador con un mando de juegos, descubrió una grave vulnerabilidad que le abrió las puertas a miles de dispositivos en todo el mundo.

Solo quería jugar, obtuvo acceso a 7 000 aspiradores

Según informa The Verge, Sammy Azdoufal decidió programar una aplicación que le permitiera controlar su robot aspirador DJI Romo utilizando un mando de PlayStation 5. Para la ingeniería inversa de los protocolos de DJI, utilizó la herramienta de inteligencia artificial Claude Code. Sin embargo, cuando su aplicación se conectó a los servidores del fabricante, no solo respondió su propio aspirador, sino que se conectaron aproximadamente 7 000 dispositivos de todo el mundo.

Azdoúfal descubrió que podía controlar de forma remota aspiradores ajenos, ver imágenes en vivo de sus cámaras y escuchar audio a través del micrófono integrado. Los dispositivos también le proporcionaban planos completos de las casas, que mapeaban progresivamente. En solo nueve minutos, su herramienta registró 6 700 robots en 24 países y recopiló más de 100 000 de sus mensajes. Si añadimos las powerbanks portátiles DJI Power que utilizan los mismos servidores, el número total superó los 10 000 dispositivos.

The Verge verificó el acceso

La redacción de The Verge hizo verificar la afirmación con su propia unidad de revisión. Bastó con proporcionar el número de serie de 14 dígitos del aspirador y Azdoúfal pudo identificar correctamente que el dispositivo estaba limpiando la sala de estar y tenía un 80 % de batería. En cuestión de minutos, generó un plano exacto de la casa del editor, simplemente introduciendo dígitos en un portátil en otro país.

Según Azdoúfal, para obtener acceso no tuvo que romper ninguna seguridad. Simplemente extrajo un token privado de su propio aspirador y los servidores de DJI le dieron acceso automáticamente a los datos de miles de otros usuarios. „No violé ninguna regla, no eludí nada, no craqueé ni usé fuerza bruta,“ afirma.

DJI afirmó haber resuelto el problema – no era cierto

Cuando The Verge contactó a DJI, la compañía declaró que había reparado la vulnerabilidad la semana anterior. La redacción recibió esta declaración media hora antes de que Azdoúfal les demostrara en una demostración en vivo el acceso a miles de aspiradores, incluida su unidad de revisión. Solo al día siguiente DJI realmente cerró la brecha.

La compañía finalmente admitió un „problema de verificación de permisos en el backend» que teóricamente permitía el acceso no autorizado a video en vivo. DJI afirma que los datos están cifrados con TLS, pero como señalan Azdoúfal y el investigador de seguridad Kevin Finisterre, TLS solo protege la transmisión de datos, no su contenido dentro del servidor. Una vez que un atacante se autentica como cliente, puede monitorear los mensajes de todos los dispositivos sin restricciones.

No es un caso aislado

Los problemas de seguridad de los robots aspiradores no son una excepción. En 2024, hackers tomaron el control de aspiradores Ecovacs para perseguir mascotas y gritar insultos racistas. Este año, las autoridades surcoreanas revelaron vulnerabilidades en los modelos Dreame X50 Ultra, Ecovacs y Narwal, que permitían el acceso a las cámaras. Por el contrario, los aspiradores de Samsung, LG y Roborock tuvieron un buen desempeño.

El caso de DJI Romo vuelve a plantear la cuestión de si los robots aspiradores deberían tener cámaras y micrófonos. „Es tan extraño tener un micrófono en un maldito aspirador,» señala Azdoúfal. Al menos una cosa le complació: finalmente sí controla su aspirador con un mando de PlayStation.

¿Confía en los robots aspiradores con cámara?

Fuente: The Verge