Cómo asomarse a 7.000 dormitorios sin levantarte del sofá: la lección de un desarrollador español sobre un hackeo accidenta
Un mando de PS5 se convierte de pronto en la llave maestra para acceder a los secretos de otros
Un experimento imprudente con tecnología «inteligente» derivó en un problema global de seguridad. Un desarrollador de España accedió accidentalmente a miles de dispositivos DJI en todo el mundo al intentar conectar un robot aspirador a un mando de videojuegos. La historia se difundió rápidamente por medios especializados y recordó hasta qué punto puede ser vulnerable la infraestructura en la nube de los aparatos domésticos.
Sammi Azdufal, responsable de inteligencia artificial en una empresa de gestión de alquileres, adquirió recientemente el robot aspirador Romo de DJI y decidió experimentar con el control remoto mediante el mando DualSense de PlayStation 5. Escribió su propia aplicación usando herramientas de generación de código basadas en IA. Se suponía que el programa se conectaría a su aparato a través de los servidores en la nube del fabricante. Sin embargo, en lugar de un solo aspirador, el sistema abrió el acceso a aproximadamente 6 700 dispositivos en 24 países.
Más tarde se supo que el mismo entorno de servidores también atiende a estaciones eléctricas portátiles de DJI. Al final, el número total de dispositivos accesibles superó los 10 000. A través de la aplicación creada, Azdufal podía controlar los aparatos como si le pertenecieran: iniciar la limpieza, cambiar la dirección de movimiento y ver la imagen de las cámaras integradas. Además, se mostraban números de serie, direcciones IP, nivel de batería y otros datos de servicio. Los robots también almacenaban planos detallados de las estancias, que construyen automáticamente durante su funcionamiento.
Según el desarrollador, bastaba con introducir un código de 14 dígitos para eludir la protección por PIN de cualquiera de los dispositivos. Informó del hallazgo a DJI. La empresa cerró rápidamente la vulnerabilidad y dijo que ya trabajaba en una corrección del mecanismo de verificación de permisos en el servidor, pero que la actualización aún no se había desplegado de forma general.
En un comunicado oficial, la empresa DJI destacó que hubo pocos abusos reales y que en su mayoría se trató de especialistas que investigaban la seguridad del sistema. El fabricante también recordó que emplea cifrado en la transmisión de datos. Sin embargo, Azdufal, tras el incidente, detectó otras debilidades, una de las cuales resultó tan grave que decidieron no revelar los detalles públicamente.
La situación reavivó el debate sobre los riesgos del control en la nube del «hogar inteligente». Con credenciales correctas, el fabricante o su personal teóricamente obtienen amplio acceso a la información privada de los usuarios. Aunque DJI almacena los datos en servidores en Estados Unidos, el experimento mostró que se puede conectar a ellos prácticamente desde cualquier parte del mundo. En el contexto de la reciente prohibición de importación de algunos drones extranjeros en EE. UU., el caso de Romo aporta argumentos a quienes defienden un control más estricto de este tipo de dispositivos.