Sammy Azdoufal, profesional en estrategia de IA en una empresa de alquileres vacacionales, descubrió una vulnerabilidad de seguridad importante en el robot aspirador Romo de DJI. Su objetivo inicial era sencillo: controlar su nuevo Romo de forma remota con un mando de PS5. Sin embargo, al conectar su aplicación personalizada a los servidores de DJI, sin querer consiguió controlar alrededor de 7.000 dispositivos en todo el mundo. Esto incluía acceso a cámaras en directo, micrófonos y datos detallados como mapas de habitaciones, localización de dispositivos, estado de la batería y progreso de limpieza.

Azdoufal, con ayuda de herramientas de inteligencia artificial, revirtió el protocolo de comunicación de DJI y detectó que el acceso a los dispositivos solo requería un token privado extraído de su propio aspirador. A través de los servidores MQTT de DJI, que transmiten datos cada tres segundos, pudo acceder a mensajes en tiempo real de miles de robots y estaciones portátiles en 24 países. Su sistema catalogó más de 10.000 dispositivos, recopilando más de 100.000 mensajes para permitir seguimiento detallado y visión remota sin tener que hackear ni vulnerar directamente los servidores de DJI.

Vulnerabilidad en los sistemas de DJI: impacto y respuesta

Aunque DJI ya había limitado algunas funcionalidades —como el acceso remoto a vídeo y audio— tras recibir la notificación de Azdoufal y otros reportes, estas restricciones no se aplicaron de forma global hasta después de la publicación pública del fallo. El día siguiente se bloqueó el acceso al escáner utilizado para identificar dispositivos, coincidiendo con la implementación definitiva de la solución. Este incidente revela problemas estructurales en la seguridad de varios dispositivos domésticos inteligentes, ya que DJI protege datos en tránsito con cifrado TLS, pero carece de controles robustos a nivel de topic dentro del protocolo MQTT. Así, usuarios autenticados pueden suscribirse a flujos de datos de miles de dispositivos en todo el mundo, poniendo en riesgo la privacidad.

Expertos en seguridad subrayan que la encriptación solo protege los datos durante su transmisión, pero no evita accesos no autorizados a nivel del servidor o por usuarios con permisos amplios. DJI reconoció una falla de validación de permisos en el backend relacionada con las comunicaciones MQTT. La marca aseguró que la vulnerabilidad se corrigió mediante dos actualizaciones llevadas a cabo a principios de febrero. Además, DJI afirma no haber encontrado indicios de un uso malintencionado masivo y destaca sus procesos de seguridad continuos, incluyendo un programa de recompensas por detección de fallos.

Aunque se solucionaron los problemas más evidentes, Azdoufal sostiene que aún existen vulnerabilidades sin corregir, como el acceso a vídeo en tiempo real sin necesidad de códigos de seguridad y al menos un fallo grave más que no ha sido divulgado. La situación se une a otras recientes vulnerabilidades detectadas en aspiradores inteligentes de marcas como Ecovacs y Dreame, evidenciando la dificultad que tienen los fabricantes para equilibrar la comodidad con protecciones de seguridad escalables, especialmente cuando los dispositivos cuentan con sensores sensibles como cámaras y micrófonos en entornos privados.

Críticas a la gestión de la vulnerabilidad por parte de DJI

La manera en que Azdoufal optó por divulgar el fallo —sin pasar por los canales formales de bug bounty y con rapidez— refleja su frustración con la comunicación y los tiempos de respuesta de DJI. Cuestiona si la compañía detectó el problema de manera independiente antes de su reporte inicial y critica la respuesta automatizada y limitada por parte del fabricante durante el proceso. Este caso pone en evidencia la necesidad de mayor transparencia y responsabilidad corporativa, así como la urgente actualización de los protocolos de seguridad en un hogar cada vez más conectado.

La combinación de factores revela además vulnerabilidades estructurales en el diseño de seguridad de la plataforma DJI, que no solo afecta a los usuarios individuales, sino que abre una ventana para posibles exploits a gran escala. La comunidad de seguridad y usuarios debería exigir estándares más estrictos para dispositivos IoT que manejan información sensible dentro de hogares y entornos privados.

Fuente