Un grave fallo de seguridad en las aspiradoras inteligentes DJI ROMO ha puesto en riesgo la intimidad de miles de usuarios en 24 países. Esta brecha permitió el acceso no autorizado a las cámaras integradas y a los mapas detallados de las viviendas. El analista en inteligencia artificial, Sammy Azdoufal, fue quien identificó esta vulnerabilidad que afectó a cerca de 7.000 dispositivos, evidenciando los peligros latentes en la digitalización de los hogares modernos.
Vulnerabilidad de datos personales y control remoto
Lo que comenzó como un experimento técnico doméstico reveló un problema de escala internacional. Azdoufal, con la intención de vincular su aspiradora a un mando de PlayStation 5, descubrió que al extraer el token privado de su equipo, podía entrar a la información y mandos de miles de otras unidades en diversos territorios.
A través de su ordenador, en un lapso de solo 9 minutos, el experto logró rastrear 6.700 dispositivos y recopilar más de 100.000 mensajes de datos. Entre la información expuesta se encontraban transmisiones de video en vivo, planos de las casas y direcciones IP.
La peligrosidad de este error radica en la simplicidad con la que se podía ejecutar. El protocolo de autenticación de DJI permitía que un solo token funcionara como una llave universal, facilitando el acceso a cuentas de otros clientes. De este modo, no solo era factible manipular los robots a distancia, sino también observar imágenes en tiempo real y revisar la distribución interna de viviendas ajenas.
Riesgos de seguridad en el mercado de la domótica
La situación de las aspiradoras ROMO es un recordatorio crítico sobre los retos de seguridad que enfrenta la industria de dispositivos inteligentes. Con un mercado que moviliza más de 300 millones de unidades cada año, la red de objetos conectados se vuelve cada vez más compleja y vulnerable.
La integración de micrófonos y cámaras en equipos cotidianos aumenta la preocupación por la protección de la privacidad, subrayando la urgencia de establecer estándares de seguridad y regulaciones más rigurosas para el sector tecnológico.
Informes técnicos resaltan cómo la facilidad que ofrece la conectividad puede dejar desprotegida información sumamente sensible, desde registros de audio y video hasta la cartografía exacta de los espacios privados habitados.
Respuesta técnica y solución por parte de DJI
Ante la magnitud del hallazgo, la compañía DJI intervino rápidamente para corregir el error en sus sistemas. Daisy Kong, portavoz de la organización, informó que el fallo se originó por una vulnerabilidad en la validación de permisos del backend, específicamente en el protocolo de comunicación MQTT entre los servidores y los equipos.
Es importante destacar que este problema de seguridad fue identificado de forma interna a finales de enero, lo que generó una ventana de riesgo para el acceso no autorizado a los videos de los modelos ROMO.
“DJI puede confirmar que el problema se resolvió la semana pasada y que la corrección ya estaba en marcha antes de la divulgación pública”
Según explicó Kong, la empresa aplicó dos parches de seguridad: uno el 8 de febrero y otro el 10 de febrero, asegurando que la actualización alcanzara todos los puntos de servicio.
La firma aclaró que no se trató de una deficiencia en el cifrado de datos, sino en los controles de acceso a los mismos. Además, indicaron que los incidentes reales detectados fueron mínimos y relacionados con las pruebas de investigadores externos. Tras procesar el informe de Azdoufal, la compañía sostiene que la falla está resuelta y que “no hay evidencia de un impacto más amplio” en sus clientes.
Este evento recalca la necesidad de fortalecer los perímetros de seguridad en el hogar inteligente, donde una brecha técnica puede abrir la intimidad de miles de familias a desconocidos.
Fuente: Fuente