En un desarrollo reciente en el campo de la tecnología de consumo, la conocida empresa DJI ha abordado un importante problema de seguridad en sus robots aspiradores de la serie ROMO P. Este fallo permitía a individuos no autorizados acceder de manera remota a aproximadamente 7.000 dispositivos en todo el mundo, lo que incluía el control de las aspiradoras y el acceso a sus cámaras y micrófonos en tiempo real.

Desde su lanzamiento en octubre del año pasado, los robots aspiradores ROMO han captado la atención no solo por sus innovadoras funciones de limpieza, que incluyen fregado y tecnología avanzada derivada de sus drones, sino también debido a este serio inconveniente. El modelo más sofisticado, el ROMO P, que se vende a partir de 1.899 euros, también se destaca por su elegante estación de carga transparente y su compartimento adicional para desodorantes de pisos.

El descubrimiento de esta vulnerabilidad se produjo de manera casual gracias a Sammy Azdoufal, un experto en inteligencia artificial y desarrollador de aplicaciones. Mientras experimentaba, intentó controlar su aspiradora ROMO a través de un mando de PS5, lo que lo llevó inesperadamente a conectar con los servidores de DJI y acceder a una red de aspiradoras en todo el mundo.

Azdoufal logró programar una aplicación para controlar su aspiradora de manera remota, utilizando el asistente de inteligencia artificial Claude Code. Al analizar los protocolos de la tecnología de DJI, recibió respuestas de cerca de 7.000 aspiradoras que estaban conectadas, lo que le permitió tomar control sobre ellas, así como visualizar imágenes capturadas por las cámaras y escuchar a través de los micrófonos.

La investigación del desarrollador fue verificada por The Verge, que documentó su capacidad para controlar un aspirador ROMO perteneciente a un periodista de su equipo, todo desde Barcelona y usando únicamente el número de serie del dispositivo. Con su aplicación, Azdoufal pudo crear un mapa en 2D de cada habitación y monitorear información clave como el nivel de batería y los obstáculos que las aspiradoras encontraban durante su limpieza.

En total, Azdoufal obtuvo acceso a unos 10.000 dispositivos en 24 países. Sin embargo, él sostiene que no violó ninguna norma de seguridad al extraer el token privado de su propio aspirador, lo que le daba acceso a los datos de otros usuarios sin forzar ningún tipo de brecha en la seguridad.

Ante esta situación, DJI ha asegurado que el fallo de seguridad ha sido corregido. La compañía explicó que la vulnerabilidad, detectada a finales de enero, fue solucionada mediante actualizaciones progresivas, sin que los usuarios tuvieran que tomar ninguna medida. La portavoz de la compañía, Daisy Kong, enfatizó que la empresa ya contaba con un plan de reparación en marcha antes de la divulgación del problema.

El incidente se debió a una deficiencia en la validación de permisos en la plataforma DJI Home, que generó un escenario potencial para el acceso no autorizado a las imágenes en vivo de los dispositivos ROMO. No obstante, DJI subraya que tales incidentes eran raros y estaban asociados a investigaciones de seguridad por parte de terceros.

A pesar de las declaraciones de DJI sobre la corrección del problema y su compromiso con la seguridad y la privacidad de los datos, algunos expertos alertan que el hecho de cerrar una vía de acceso podría no ser suficiente para prevenir futuros intentos maliciosos. Esto significa que, mientras la empresa se asegura de que se ha solucionado la vulnerabilidad, los usuarios deben seguir siendo cautelosos.

A pesar de que Azdoufal ha perdido el acceso a los aspiradores ROMO, ha indicado a The Verge que ha descubierto otra vulnerabilidad significativa en estos dispositivos que aún no ha sido corregida, lo que plantea nuevos interrogantes sobre la seguridad de la tecnología de limpieza automatizada en nuestros hogares.