Crea por accidente su propio ejército con 6.700 aspiradoras robot que podía controlar de forma remota
Un fallo de seguridad en los robots aspiradores DJI Romo permitió acceder a planos y cámaras de más de 6.700 dispositivos tras un experimento doméstico.
Un usuario que solo quería controlar su aspiradora con un mando de PlayStation acabó destapando un grave fallo de seguridad que dejó expuestos más de 6.700 robots aspiradores en todo el mundo.
Lo que comenzó como un simple experimento doméstico terminó revelando planos detallados de viviendas, transmisiones de vídeo en directo e incluso acceso remoto a dispositivos de terceros.
El hallazgo fue realizado por Sammy Adoufal, estratega de inteligencia artificial, quien decidió investigar el protocolo de comunicación de su robot aspirador DJI Romo para crear una aplicación que le permitiera manejarlo con el mando de PlayStation. Para ello utilizó la herramienta de programación Claude Code, con la que logró entender cómo el dispositivo se conectaba a los servidores de la compañía.
Sin embargo, lo que descubrió fue mucho más allá de su propio aparato. Al obtener el token privado de su aspiradora, el sistema le dio acceso a servidores globales, incluyendo dispositivos ubicados en Estados Unidos, Europa y China. Según explicó al medio The Verge, no realizó ningún hackeo ni vulneró sistemas mediante fuerza bruta o técnicas avanzadas. Simplemente utilizó credenciales válidas generadas por su propio dispositivo.
El problema no estaría en el cifrado de las comunicaciones, sino en la forma en que se almacenaban los datos en los servidores, aparentemente en texto plano y accesibles si se obtenía el token adecuado. El fallo permitía consultar planos detallados de las viviendas generados por el sistema de mapeo, acceder a la transmisión en directo de la cámara y el micrófono integrados y controlar remotamente los robots afectados.
El ingeniero optó por informar a la compañía para que corrigiera la vulnerabilidad. Posteriormente, el fabricante lanzó actualizaciones para solucionar el problema sin requerir acciones por parte de los usuarios.
Aun así, el investigador asegura que todavía existen cuestiones pendientes, como la posibilidad de visualizar la cámara sin introducir un PIN de seguridad.
Este caso vuelve a poner el foco en los riesgos de los dispositivos IoT en el hogar. Aunque ofrecen comodidad y automatización, también pueden convertirse en una puerta de entrada a datos extremadamente sensibles.