La reciente falla de seguridad en los robots aspiradores DJI ROMO ha encendido todas las alarmas sobre lo que puede ocurrir cuando un dispositivo que recorre nuestra casa, con cámara y micrófono integrados, se convierte en una puerta de entrada para terceros. El caso ha salpicado de lleno a Europa, con especial relevancia en países como España, donde estos equipos empiezan a ganar presencia en los hogares.
Lo que parecía un simple robot de limpieza de alta gama terminó siendo un ejemplo muy claro de cómo una mala gestión de permisos y autenticación puede exponer la intimidad de miles de usuarios. Durante varios días, resultó posible controlar de forma remota aspiradoras ROMO, ver lo que captaban sus cámaras, escuchar a través de sus micrófonos e incluso trazar planos detallados de viviendas sin el conocimiento de sus propietarios.
Un experimento doméstico que destapó una brecha global
El protagonista de esta historia es Sammy Azdoufal, director de estrategia de Inteligencia Artificial en la empresa de alquiler de viviendas Emerald Stay y desarrollador de aplicaciones afincado en Barcelona. Todo comenzó cuando decidió, casi por curiosidad, vincular su aspiradora DJI ROMO a un mando de PlayStation 5 para controlarla como si fuera un coche teledirigido.
Para lograrlo, Azdoufal creó una aplicación de mando a distancia usando un asistente de IA y aplicó técnicas de ingeniería inversa sobre los protocolos de comunicación de DJI. Su intención inicial era simplemente comunicarse con su propio robot, pero al conectar con los servidores de la compañía ocurrió algo inesperado: empezaron a responder miles de aspiradoras que no eran suyas.
En cuestión de minutos, su portátil llegó a identificar alrededor de 6.700 a 7.000 dispositivos repartidos por 24 países, llegando posteriormente a tener visibilidad sobre unos 10.000 aparatos entre robots ROMO y otros equipos conectados. Cada pocos segundos, los dispositivos enviaban mensajes con datos de estado, rutas de limpieza, número de serie y otra información técnica que se acumuló en más de 100.000 mensajes MQTT en apenas nueve minutos.
La gravedad del asunto no se limita al volumen de dispositivos alcanzados, sino a que el acceso se lograba con un único elemento: el token privado extraído del propio robot de Azdoufal. Ese identificador, pensado para que los servidores reconozcan a un usuario legítimo, actuaba en la práctica como una especie de “llave maestra” que abría la puerta a miles de robots ajenos.
Medios especializados como The Verge comprobaron la vulnerabilidad de primera mano: un periodista permitió que Azdoufal intentara controlar su ROMO desde Barcelona, y este consiguió manejar el robot de forma remota con solo conocer su número de serie, sin necesidad de contraseñas adicionales.
Qué podían ver y hacer los atacantes con los ROMO
El alcance de la vulnerabilidad va mucho más allá de encender o apagar una aspiradora a distancia. Gracias a ese fallo en la validación de permisos, quien explotara el problema podía controlar el movimiento del robot y acceder a información extremadamente sensible sin ningún tipo de autorización del propietario.
Entre los datos y funciones accesibles se incluían las cámaras integradas de los modelos más avanzados, lo que permitía ver imágenes en directo del interior de las viviendas. Además, el sistema ponía a disposición de quien se conectara los mapas 2D de las casas generados durante las sesiones de limpieza, con el trazado de cada habitación, pasillo y obstáculo detectado.
A todo ello se sumaba la posibilidad de consultar parámetros como el nivel de batería, el recorrido exacto del robot, las estancias que estaba limpiando en cada momento o los objetos que había encontrado en su camino. Con estos datos, un atacante podía llegar a inferir hábitos y rutinas, saber cuándo una casa estaba vacía o localizar zonas especialmente sensibles dentro de un domicilio.
En algunos casos, el robot también puede servir como punto de partida para averiguar la ubicación aproximada del usuario, ya sea a través de la dirección IP o de la información de red asociada. Este tipo de combinación -mapas del hogar, posibles imágenes, audio y datos técnicos- convierte un simple electrodoméstico en una fuente muy poderosa de inteligencia doméstica.
Azdoufal insiste en que, durante sus pruebas, no recurrió a técnicas de fuerza bruta ni vulneró sistemas cifrados de manera tradicional. Según su propio testimonio, se limitó a utilizar el token de su dispositivo y se encontró con que los servidores le proporcionaban, por diseño defectuoso, datos de miles de usuarios más.
Cómo funciona la vulnerabilidad: el problema del token y el backend
En el centro de este incidente se encuentra el sistema de comunicación entre los robots ROMO y la plataforma DJI Home, que emplea el protocolo MQTT para enviar y recibir datos en tiempo real. Esta tecnología es habitual en el Internet de las Cosas porque es ligera y eficiente, pero requiere una gestión rigurosa de permisos para que cada dispositivo solo pueda acceder a su propia información.
Según ha explicado la propia compañía, el problema residía en un fallo de validación de permisos en el backend, no en el cifrado de las comunicaciones. Es decir, los datos viajaban de forma segura por la red, pero una vez dentro de la infraestructura de DJI los controles que determinan qué puede ver cada cliente no estaban correctamente ajustados.
En la práctica, el token privado del robot de Azdoufal actuó como un identificador global que permitía suscribirse a mensajes de otros dispositivos, recibir su telemetría e incluso ejecutar acciones remotas. El fallo hacía que el sistema aceptara esas peticiones como si fueran legítimas, sin verificar adecuadamente que cada solicitud correspondiera únicamente al robot autorizado.
Este tipo de vulnerabilidad es especialmente delicado porque se sitúa “del lado del servidor”. Aunque el usuario tenga una conexión cifrada y una app aparentemente segura, si el backend no aplica políticas estrictas de control de acceso, un atacante con los conocimientos adecuados puede moverse con bastante libertad dentro de la nube del fabricante.
Especialistas en ciberseguridad recuerdan que casos así ponen de manifiesto que el cifrado por sí solo no basta: TLS protege el canal, pero no impide que un servicio mal configurado entregue información sensible a quien no debería recibirla. Por eso cobran tanta importancia las auditorías externas de seguridad y los programas de recompensa por errores, especialmente en productos que se meten literalmente en casa del usuario.
Respuesta de DJI: parches rápidos y mensaje de calma
Tras la comunicación del hallazgo por parte de Azdoufal y su posterior publicación en medios internacionales, DJI ha asegurado que la vulnerabilidad ya está completamente solucionada. Según la portavoz de la compañía, Daisy Kong, la empresa detectó internamente un problema en DJI Home a finales de enero y comenzó a desplegar parches poco después.
En concreto, la firma afirma haber lanzado un primer parche el 8 de febrero, seguido de una actualización adicional el 10 de febrero para garantizar que la corrección se aplicaba a todos los nodos de servicio. La compañía sostiene que esta segunda actualización fue la que terminó de extender la solución a toda su infraestructura, reinstaurando los controles de permisos que habían fallado inicialmente.
DJI subraya que el fallo se limitaba a una posibilidad teórica de acceso no autorizado a vídeo en directo y otros datos de los ROMO, y que los casos reales detectados fueron “extremadamente raros” y asociados fundamentalmente a investigadores de seguridad que estaban probando los dispositivos. Además, la empresa recalca que las comunicaciones no se transmitían en texto claro y que el cifrado seguía activo en todo momento.
Tras recibir el informe detallado de Azdoufal, la compañía ha reiterado que “no hay evidencia de un impacto más amplio” sobre su base de usuarios y que el problema ya está resuelto. Sin embargo, el propio investigador ha reconocido al medio estadounidense que todavía ha sido capaz de detectar otro fallo grave relacionado con los ROMO, que por el momento prefiere no hacer público para no facilitar su explotación.
Desde la empresa se insiste en que mantienen estándares estrictos de privacidad y seguridad, que han invertido en soluciones de cifrado a nivel de industria y que cuentan con un programa de recompensa de errores para incentivar que este tipo de descubrimientos se comunique de forma responsable.
El impacto para los usuarios en España y Europa
En el contexto europeo, donde la protección de datos personales está fuertemente regulada por el RGPD, un incidente como el de los DJI ROMO no pasa desapercibido. Aunque la compañía insista en que el número de afectados reales ha sido muy limitado, el hecho de que fuera técnicamente posible acceder a cámaras, micrófonos y mapas del hogar de miles de usuarios es, por sí mismo, un motivo de preocupación.
En países como España, donde cada vez más hogares apuestan por la domótica y por dispositivos conectados, este caso sirve como recordatorio de que un robot aspirador no es solo un electrodoméstico: es un sensor móvil que recorre la casa entera y puede generar una radiografía muy precisa de cómo vive una familia, qué espacios utiliza, dónde guarda determinados objetos o cuándo suele estar ausente.
Reguladores europeos y defensores de la privacidad llevan tiempo advirtiendo de los riesgos de los dispositivos con cámara y micrófono integrados, desde altavoces inteligentes hasta timbres con vídeo o cámaras de vigilancia doméstica. El incidente con los ROMO se suma a una lista creciente de casos que muestran que no todas las marcas asumen con la misma seriedad las implicaciones de seguridad.
Además, al tratarse de una compañía con infraestructura global y servidores distribuidos, surgen dudas adicionales sobre dónde se almacenan exactamente los datos, quién puede acceder a ellos y bajo qué jurisdicción se gestionan. Aunque el cifrado dificulta el acceso a terceros externos, los propios empleados o servicios internos de la empresa pueden, en teoría, tratar esa información, lo que eleva el listón de responsabilidad que se exige a fabricantes y proveedores.
Para los usuarios europeos, este tipo de incidentes suele traducirse también en un mayor escrutinio regulatorio y en presiones para que se adopten certificaciones de ciberseguridad específicas para productos del Internet de las Cosas destinados al hogar, algo que ya se está debatiendo tanto en Bruselas como en diferentes capitales nacionales.
Qué medidas pueden tomar los propietarios de robots aspiradores
Aunque DJI insista en que no se requiere ninguna acción adicional por parte de los usuarios y que los parches ya se han aplicado, el episodio deja claras algunas recomendaciones prácticas que pueden ayudar a reducir riesgos con cualquier robot aspirador conectado, sea o no de esta marca.
En primer lugar, conviene revisar periódicamente las actualizaciones de firmware y de la aplicación móvil asociada. La mayoría de fabricantes activan las actualizaciones automáticas, pero no está de más comprobar en los ajustes que el dispositivo está realmente al día, sobre todo después de noticias de este tipo.
También es recomendable limitar los permisos que se conceden a las aplicaciones: por ejemplo, valorar si es estrictamente necesario habilitar el acceso remoto desde fuera de casa, o si tiene sentido que la app tenga permisos permanentes para la cámara o el micrófono del móvil cuando no se están utilizando funciones específicas.
Otra práctica prudente pasa por controlar las zonas de la vivienda por las que se mueve el robot. Muchos modelos permiten establecer áreas restringidas o muros virtuales. Evitar que el aspirador entre en habitaciones especialmente sensibles -como despachos con documentación, habitaciones infantiles o zonas donde se manipula información privada- puede reducir el impacto de un posible incidente.
Por último, resulta útil mantener una visión crítica sobre los dispositivos conectados que se incorporan al hogar: comprobar el historial de seguridad del fabricante, buscar si ya ha tenido problemas previos, revisar qué tipo de datos recoge y cómo los almacena, y no dar por hecho que por el mero hecho de ser un producto popular es automáticamente seguro.
El caso de los DJI ROMO ha dejado claro que incluso una marca con experiencia tecnológica y amplia presencia internacional puede pasar por alto un fallo de validación de permisos con consecuencias potencialmente graves. La digitalización del hogar trae comodidad y automatización, pero también obliga a asumir que cada aparato conectado es un posible punto débil si algo se hace mal en su diseño o en su mantenimiento.
Con la vulnerabilidad ya corregida pero con nuevas investigaciones en marcha, el episodio sirve como toque de atención tanto para fabricantes como para usuarios: la seguridad de un robot aspirador no se mide solo por lo bien que limpia, sino por lo bien que protege lo que ve, oye y aprende de la casa en la que trabaja.