{"id":31793,"date":"2026-02-17T16:53:41","date_gmt":"2026-02-17T16:53:41","guid":{"rendered":"https:\/\/domosistemas.com\/?p=31793"},"modified":"2026-02-17T16:53:41","modified_gmt":"2026-02-17T16:53:41","slug":"falla-de-seguridad-en-los-robots-aspiradores-dji-romo-que-ha-pasado-y-como-te-afecta","status":"publish","type":"post","link":"https:\/\/domosistemas.com\/?p=31793","title":{"rendered":"Falla de seguridad en los robots aspiradores DJI ROMO: qu\u00e9 ha pasado y c\u00f3mo te afecta"},"content":{"rendered":"
\n

\"Falla<\/p>\n

La reciente falla de seguridad en los robots aspiradores DJI ROMO<\/strong> ha encendido todas las alarmas sobre lo que puede ocurrir cuando un dispositivo que recorre nuestra casa, con c\u00e1mara y micr\u00f3fono integrados, se convierte en una puerta de entrada para terceros. El caso ha salpicado de lleno a Europa, con especial relevancia en pa\u00edses como Espa\u00f1a, donde estos equipos empiezan a ganar presencia en los hogares<\/a>.<\/p>\n

Lo que parec\u00eda un simple robot de limpieza de alta gama termin\u00f3 siendo un ejemplo muy claro de c\u00f3mo una mala gesti\u00f3n de permisos y autenticaci\u00f3n<\/strong> puede exponer la intimidad de miles de usuarios. Durante varios d\u00edas, result\u00f3 posible controlar de forma remota aspiradoras ROMO, ver lo que captaban sus c\u00e1maras, escuchar a trav\u00e9s de sus micr\u00f3fonos e incluso trazar planos detallados de viviendas sin el conocimiento de sus propietarios.<\/p>\n

Un experimento dom\u00e9stico que destap\u00f3 una brecha global<\/h2>\n

\"Investigaci\u00f3n<\/p>\n

El protagonista de esta historia es Sammy Azdoufal<\/strong>, director de estrategia de Inteligencia Artificial en la empresa de alquiler de viviendas Emerald Stay y desarrollador de aplicaciones afincado en Barcelona. Todo comenz\u00f3 cuando decidi\u00f3, casi por curiosidad, vincular su aspiradora DJI ROMO a un mando de PlayStation 5<\/a> para controlarla como si fuera un coche teledirigido.<\/p>\n

Para lograrlo, Azdoufal cre\u00f3 una aplicaci\u00f3n de mando a distancia<\/strong> usando un asistente de IA y aplic\u00f3 t\u00e9cnicas de ingenier\u00eda inversa sobre los protocolos de comunicaci\u00f3n de DJI. Su intenci\u00f3n inicial era simplemente comunicarse con su propio robot, pero al conectar con los servidores de la compa\u00f1\u00eda ocurri\u00f3 algo inesperado: empezaron a responder miles de aspiradoras que no eran suyas.<\/p>\n

En cuesti\u00f3n de minutos, su port\u00e1til lleg\u00f3 a identificar alrededor de 6.700 a 7.000 dispositivos<\/strong> repartidos por 24 pa\u00edses<\/strong>, llegando posteriormente a tener visibilidad sobre unos 10.000 aparatos<\/strong> entre robots ROMO y otros equipos conectados. Cada pocos segundos, los dispositivos enviaban mensajes con datos de estado, rutas de limpieza, n\u00famero de serie y otra informaci\u00f3n t\u00e9cnica que se acumul\u00f3 en m\u00e1s de 100.000 mensajes MQTT<\/strong> en apenas nueve minutos.<\/p>\n

La gravedad del asunto no se limita al volumen de dispositivos alcanzados, sino a que el acceso se lograba con un \u00fanico elemento: el token privado<\/strong> extra\u00eddo del propio robot de Azdoufal. Ese identificador, pensado para que los servidores reconozcan a un usuario leg\u00edtimo, actuaba en la pr\u00e1ctica como una especie de \u201cllave maestra\u201d<\/strong> que abr\u00eda la puerta a miles de robots ajenos.<\/p>\n

Medios especializados como The Verge<\/strong> comprobaron la vulnerabilidad de primera mano: un periodista permiti\u00f3 que Azdoufal intentara controlar su ROMO desde Barcelona, y este consigui\u00f3 manejar el robot de forma remota con solo conocer su n\u00famero de serie<\/strong>, sin necesidad de contrase\u00f1as adicionales.<\/p>\n

Qu\u00e9 pod\u00edan ver y hacer los atacantes con los ROMO<\/h2>\n

\"Datos<\/p>\n

El alcance de la vulnerabilidad va mucho m\u00e1s all\u00e1 de encender o apagar una aspiradora a distancia. Gracias a ese fallo en la validaci\u00f3n de permisos, quien explotara el problema pod\u00eda controlar el movimiento del robot<\/strong> y acceder a informaci\u00f3n extremadamente sensible sin ning\u00fan tipo de autorizaci\u00f3n del propietario.<\/p>\n

Entre los datos y funciones accesibles se inclu\u00edan las c\u00e1maras integradas de los modelos m\u00e1s avanzados<\/a><\/strong>, lo que permit\u00eda ver im\u00e1genes en directo del interior de las viviendas. Adem\u00e1s, el sistema pon\u00eda a disposici\u00f3n de quien se conectara los mapas 2D<\/strong> de las casas generados durante las sesiones de limpieza, con el trazado de cada habitaci\u00f3n, pasillo y obst\u00e1culo detectado.<\/p>\n

A todo ello se sumaba la posibilidad de consultar par\u00e1metros como el nivel de bater\u00eda, el recorrido exacto<\/strong> del robot, las estancias que estaba limpiando en cada momento o los objetos que hab\u00eda encontrado en su camino. Con estos datos, un atacante pod\u00eda llegar a inferir h\u00e1bitos y rutinas<\/strong>, saber cu\u00e1ndo una casa estaba vac\u00eda o localizar zonas especialmente sensibles dentro de un domicilio.<\/p>\n

En algunos casos, el robot tambi\u00e9n puede servir como punto de partida para averiguar la ubicaci\u00f3n aproximada<\/strong> del usuario, ya sea a trav\u00e9s de la direcci\u00f3n IP o de la informaci\u00f3n de red asociada. Este tipo de combinaci\u00f3n -mapas del hogar, posibles im\u00e1genes, audio y datos t\u00e9cnicos- convierte un simple electrodom\u00e9stico en una fuente muy poderosa de inteligencia dom\u00e9stica.<\/p>\n

Azdoufal insiste en que, durante sus pruebas, no recurri\u00f3 a t\u00e9cnicas de fuerza bruta<\/strong> ni vulner\u00f3 sistemas cifrados de manera tradicional. Seg\u00fan su propio testimonio, se limit\u00f3 a utilizar el token de su dispositivo y se encontr\u00f3 con que los servidores le proporcionaban, por dise\u00f1o defectuoso, datos de miles de usuarios m\u00e1s.<\/p>\n

C\u00f3mo funciona la vulnerabilidad: el problema del token y el backend<\/h2>\n

\"Backend<\/p>\n

En el centro de este incidente se encuentra el sistema de comunicaci\u00f3n entre los robots ROMO y la plataforma DJI Home<\/strong>, que emplea el protocolo MQTT para enviar y recibir datos en tiempo real. Esta tecnolog\u00eda es habitual en el Internet de las Cosas porque es ligera y eficiente, pero requiere una gesti\u00f3n rigurosa de permisos<\/strong> para que cada dispositivo solo pueda acceder a su propia informaci\u00f3n.<\/p>\n

Seg\u00fan ha explicado la propia compa\u00f1\u00eda, el problema resid\u00eda en un fallo de validaci\u00f3n de permisos en el backend<\/strong>, no en el cifrado de las comunicaciones. Es decir, los datos viajaban de forma segura por la red, pero una vez dentro de la infraestructura de DJI los controles que determinan qu\u00e9 puede ver cada cliente no estaban correctamente ajustados.<\/p>\n

En la pr\u00e1ctica, el token privado del robot de Azdoufal actu\u00f3 como un identificador global<\/strong> que permit\u00eda suscribirse a mensajes de otros dispositivos, recibir su telemetr\u00eda e incluso ejecutar acciones remotas. El fallo hac\u00eda que el sistema aceptara esas peticiones como si fueran leg\u00edtimas, sin verificar adecuadamente que cada solicitud correspondiera \u00fanicamente al robot autorizado.<\/p>\n

Este tipo de vulnerabilidad es especialmente delicado porque se sit\u00faa \u201cdel lado del servidor\u201d. Aunque el usuario tenga una conexi\u00f3n cifrada y una app aparentemente segura, si el backend no aplica pol\u00edticas estrictas de control de acceso<\/strong>, un atacante con los conocimientos adecuados puede moverse con bastante libertad dentro de la nube del fabricante.<\/p>\n

Especialistas en ciberseguridad recuerdan que casos as\u00ed ponen de manifiesto que el cifrado por s\u00ed solo no basta: TLS protege el canal<\/strong>, pero no impide que un servicio mal configurado entregue informaci\u00f3n sensible a quien no deber\u00eda recibirla. Por eso cobran tanta importancia las auditor\u00edas externas de seguridad<\/strong> y los programas de recompensa por errores, especialmente en productos que se meten literalmente en casa del usuario.<\/p>\n

Respuesta de DJI: parches r\u00e1pidos y mensaje de calma<\/h2>\n

Tras la comunicaci\u00f3n del hallazgo por parte de Azdoufal y su posterior publicaci\u00f3n en medios internacionales, DJI ha asegurado que la vulnerabilidad ya est\u00e1 completamente solucionada<\/strong>. Seg\u00fan la portavoz de la compa\u00f1\u00eda, Daisy Kong, la empresa detect\u00f3 internamente un problema en DJI Home a finales de enero y comenz\u00f3 a desplegar parches poco despu\u00e9s.<\/p>\n

En concreto, la firma afirma haber lanzado un primer parche el 8 de febrero<\/strong>, seguido de una actualizaci\u00f3n adicional el 10 de febrero<\/strong> para garantizar que la correcci\u00f3n se aplicaba a todos los nodos de servicio<\/em>. La compa\u00f1\u00eda sostiene que esta segunda actualizaci\u00f3n fue la que termin\u00f3 de extender la soluci\u00f3n a toda su infraestructura, reinstaurando los controles de permisos que hab\u00edan fallado inicialmente.<\/p>\n

DJI subraya que el fallo se limitaba a una posibilidad te\u00f3rica de acceso no autorizado<\/strong> a v\u00eddeo en directo y otros datos de los ROMO, y que los casos reales detectados fueron \u201cextremadamente raros\u201d y asociados fundamentalmente a investigadores de seguridad que estaban probando los dispositivos. Adem\u00e1s, la empresa recalca que las comunicaciones no se transmit\u00edan en texto claro<\/strong> y que el cifrado segu\u00eda activo en todo momento.<\/p>\n

Tras recibir el informe detallado de Azdoufal, la compa\u00f1\u00eda ha reiterado que \u201cno hay evidencia de un impacto m\u00e1s amplio<\/strong>\u201d sobre su base de usuarios y que el problema ya est\u00e1 resuelto. Sin embargo, el propio investigador ha reconocido al medio estadounidense que todav\u00eda ha sido capaz de detectar otro fallo grave<\/strong> relacionado con los ROMO, que por el momento prefiere no hacer p\u00fablico para no facilitar su explotaci\u00f3n.<\/p>\n

Desde la empresa se insiste en que mantienen est\u00e1ndares estrictos de privacidad y seguridad<\/strong>, que han invertido en soluciones de cifrado a nivel de industria y que cuentan con un programa de recompensa de errores para incentivar que este tipo de descubrimientos se comunique de forma responsable.<\/p>\n

El impacto para los usuarios en Espa\u00f1a y Europa<\/h2>\n

En el contexto europeo, donde la protecci\u00f3n de datos personales<\/strong> est\u00e1 fuertemente regulada por el RGPD, un incidente como el de los DJI ROMO no pasa desapercibido. Aunque la compa\u00f1\u00eda insista en que el n\u00famero de afectados reales ha sido muy limitado, el hecho de que fuera t\u00e9cnicamente posible acceder a c\u00e1maras, micr\u00f3fonos y mapas del hogar<\/strong> de miles de usuarios es, por s\u00ed mismo, un motivo de preocupaci\u00f3n.<\/p>\n

Reguladores europeos y defensores de la privacidad llevan tiempo advirtiendo de los riesgos de los dispositivos con c\u00e1mara y micr\u00f3fono<\/strong> integrados, desde altavoces inteligentes hasta timbres con v\u00eddeo o c\u00e1maras de vigilancia dom\u00e9stica. El incidente con los ROMO se suma a una lista creciente de casos que muestran que no todas las marcas asumen con la misma seriedad las implicaciones de seguridad.<\/p>\n

Adem\u00e1s, al tratarse de una compa\u00f1\u00eda con infraestructura global y servidores distribuidos<\/strong>, surgen dudas adicionales sobre d\u00f3nde se almacenan exactamente los datos, qui\u00e9n puede acceder a ellos y bajo qu\u00e9 jurisdicci\u00f3n se gestionan. Aunque el cifrado dificulta el acceso a terceros externos, los propios empleados o servicios internos de la empresa pueden, en teor\u00eda, tratar esa informaci\u00f3n, lo que eleva el list\u00f3n de responsabilidad que se exige a fabricantes y proveedores.<\/p>\n

Para los usuarios europeos, este tipo de incidentes suele traducirse tambi\u00e9n en un mayor escrutinio regulatorio<\/strong> y en presiones para que se adopten certificaciones de ciberseguridad espec\u00edficas para productos del Internet de las Cosas destinados al hogar, algo que ya se est\u00e1 debatiendo tanto en Bruselas como en diferentes capitales nacionales.<\/p>\n

Qu\u00e9 medidas pueden tomar los propietarios de robots aspiradores<\/h2>\n

Aunque DJI insista en que no se requiere ninguna acci\u00f3n adicional<\/strong> por parte de los usuarios y que los parches ya se han aplicado, el episodio deja claras algunas recomendaciones pr\u00e1cticas que pueden ayudar a reducir riesgos con cualquier robot aspirador conectado, sea o no de esta marca.<\/p>\n

En primer lugar, conviene revisar peri\u00f3dicamente las actualizaciones de firmware<\/strong> y de la aplicaci\u00f3n m\u00f3vil asociada. La mayor\u00eda de fabricantes activan las actualizaciones autom\u00e1ticas, pero no est\u00e1 de m\u00e1s comprobar en los ajustes que el dispositivo est\u00e1 realmente al d\u00eda, sobre todo despu\u00e9s de noticias de este tipo.<\/p>\n

Tambi\u00e9n es recomendable limitar los permisos<\/strong> que se conceden a las aplicaciones: por ejemplo, valorar si es estrictamente necesario habilitar el acceso remoto desde fuera de casa, o si tiene sentido que la app tenga permisos permanentes para la c\u00e1mara o el micr\u00f3fono del m\u00f3vil cuando no se est\u00e1n utilizando funciones espec\u00edficas.<\/p>\n

Otra pr\u00e1ctica prudente pasa por controlar las zonas de la vivienda<\/strong> por las que se mueve el robot. Muchos modelos permiten establecer \u00e1reas restringidas o muros virtuales. Evitar que el aspirador entre en habitaciones especialmente sensibles -como despachos con documentaci\u00f3n, habitaciones infantiles o zonas donde se manipula informaci\u00f3n privada- puede reducir el impacto de un posible incidente.<\/p>\n

Por \u00faltimo, resulta \u00fatil mantener una visi\u00f3n cr\u00edtica sobre los dispositivos conectados<\/strong> que se incorporan al hogar: comprobar el historial de seguridad del fabricante, buscar si ya ha tenido problemas previos, revisar qu\u00e9 tipo de datos recoge y c\u00f3mo los almacena, y no dar por hecho que por el mero hecho de ser un producto popular es autom\u00e1ticamente seguro.<\/p>\n

El caso de los DJI ROMO<\/strong> ha dejado claro que incluso una marca con experiencia tecnol\u00f3gica y amplia presencia internacional puede pasar por alto un fallo de validaci\u00f3n de permisos con consecuencias potencialmente graves. La digitalizaci\u00f3n del hogar trae comodidad y automatizaci\u00f3n, pero tambi\u00e9n obliga a asumir que cada aparato conectado es un posible punto d\u00e9bil si algo se hace mal en su dise\u00f1o o en su mantenimiento.<\/p>\n

Con la vulnerabilidad ya corregida pero con nuevas investigaciones en marcha, el episodio sirve como toque de atenci\u00f3n tanto para fabricantes como para usuarios: la seguridad de un robot aspirador no se mide solo por lo bien que limpia, sino por lo bien que protege lo que ve, oye y aprende de la casa en la que trabaja.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

La reciente falla de seguridad en los robots aspiradores DJI ROMO ha encendido todas las alarmas sobre lo que puede ocurrir cuando un dispositivo que recorre nuestra casa, con c\u00e1mara y micr\u00f3fono integrados, se convierte en una puerta de entrada para terceros. El caso ha salpicado de lleno a Europa, con especial relevancia en pa\u00edses … Sigue leyendo Falla de seguridad en los robots aspiradores DJI ROMO: qu\u00e9 ha pasado y c\u00f3mo te afecta<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-31793","post","type-post","status-publish","format-standard","hentry","category-eloutput-com"],"_links":{"self":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/posts\/31793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=31793"}],"version-history":[{"count":0,"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/posts\/31793\/revisions"}],"wp:attachment":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=31793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=31793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=31793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}

En pa\u00edses como Espa\u00f1a, donde cada vez m\u00e1s hogares apuestan por la dom\u00f3tica y por dispositivos conectados, este caso sirve como recordatorio de que un robot aspirador no es solo un electrodom\u00e9stico<\/a><\/strong>: es un sensor m\u00f3vil que recorre la casa entera y puede generar una radiograf\u00eda muy precisa de c\u00f3mo vive una familia, qu\u00e9 espacios utiliza, d\u00f3nde guarda determinados objetos o cu\u00e1ndo suele estar ausente.<\/p>\n