DJI ROMO Ultra
Un ingeniero español toma el control de 7.000 aspiradoras inteligentes y destapa un fallo mundial de seguridad
Un experimento casero de un ingeniero de software español ha terminado convertido en una crisis mundial sobre los riesgos de la domótica conectada a internet. Según ha publicado el diario británico The Guardian, Sammy Azdoufal, desarrollador y responsable de inteligencia artificial en una empresa inmobiliaria y de viajes en España, logró tomar el control remoto de alrededor de 7.000 aspiradoras inteligentes DJI Romo repartidas por todo el mundo.
El caso salió a la luz cuando Azdoufal, residente en España, decidió «trastear» con su nuevo robot aspirador para manejarlo con el mando de su Playstation 5. Para ello creó una aplicación de control remoto y comenzó a comunicarse con los servidores de la compañía china DJI, especializada en drones y dispositivos inteligentes. Lo que no esperaba era que, en lugar de responder solo su aparato, miles de robots idénticos empezaran a tratarle como si fuera su administrador legítimo.
Ver y escuchar... sin querer
De repente, aquel experimento doméstico se convirtió en algo mucho más inquietante. Azdoufal comprobó que podía acceder a las cámaras de los robots, ver y escuchar en tiempo real lo que ocurría en las casas y recoger datos de los dispositivos. Según el relato recogido por The Guardian, llegó a acumular más de 100.000 mensajes procedentes de estos aparatos, además de poder usar la dirección IP de cada uno para localizar de forma aproximada dónde se encontraban.
El ingeniero insiste en que nunca tuvo intención de espiar a nadie ni de aprovecharse de la vulnerabilidad. Al darse cuenta del alcance del fallo, decidió alertar a la prensa especializada y se puso en contacto con el medio tecnológico estadounidense The Verge para explicar lo que estaba ocurriendo. A partir de ahí, el caso escaló hasta convertirse en ejemplo de manual de lo que puede salir mal cuando se lanza al mercado un dispositivo conectado sin la debida protección.
DJI ROMO S
DJI asegura que ya ha corregido el problema y que la brecha está cerrada. La compañía agradeció públicamente en X la actuación del ingeniero español, al que calificó de colaborador responsable y cuyo aviso consideró «extremadamente valioso». Azdoufal, por su parte, se lo ha tomado con humor y ha escrito en la misma plataforma que ya se le puede llamar oficialmente «el tipo de las aspiradoras», bromeando con la cantidad de robots que la gente le ofrece desde que se conoció la historia.
Tendencia peligrosa
The Guardian cita al profesor Alan Woodward, experto en informática de la Universidad de Surrey, que ve en este episodio la confirmación de una tendencia peligrosa como es la de que muchas empresas de dispositivos inteligentes priorizan la rapidez, el precio y las nuevas funciones por encima de la seguridad. El viejo mantra de Silicon Valley, «moverse rápido y romper cosas», aplicado a aparatos que tienen cámaras y micrófonos dentro del hogar, puede convertirse en una amenaza a la privacidad.
El viejo mantra de Silicon Valley, «moverse rápido y romper cosas» puede convertirse en una amenaza a la privacidad
El mercado de los hogares conectados no deja de crecer y se espera que alcance los 139.000 millones de dólares en 2032, según datos citados por el propio diario británico. En ese ecosistema, las aspiradoras inteligentes son solo una pieza más ya que estudios académicos han documentado ataques que han permitido a intrusos hacerse con el control de luces, cerraduras, cámaras de seguridad, monitores de bebés o sistemas de calefacción. El denominador común suele ser el mismo, contraseñas defectuosas, credenciales compartidas o diseños de red que facilitan saltar de un dispositivo a otro.
Contraseñas
En el caso de los robots aspiradores de DJI, el problema residía en que las credenciales de acceso de un aparato permitían, de facto, entrar en otros. Los expertos señalan que bastaría con obligar al usuario a crear una contraseña propia al configurar el dispositivo por primera vez para reducir de forma drástica este tipo de riesgos. Pero esa medida, aparentemente simple, exige que los fabricantes integren la seguridad en el diseño desde el inicio y no como parche a posteriori.
DJI ROMO P y ROMO A
Woodward subraya en declaraciones recogidas por The Guardian que la seguridad no depende de una sola pieza de código ni de un programador aislado. Se trata de entender cómo interactúan el software del aparato, los servidores del fabricante y la aplicación del usuario, y de anticipar cómo puede explotar un delincuente cualquiera de esos eslabones. Por eso, advierte, los consumidores deberían valorar si la comodidad de conectar cada rincón de la casa compensa el riesgo de abrir una ventana permanente a desconocidos.
