Sammy Azdoufal quería controlar su robot aspirador con un mando de PS5. Como cualquier buen creador, pensó que sería divertido manejar manualmente un nuevo DJI Romo. Al final, consiguió acceder a un ejército de robots aspiradores que le permitieron ver el interior de miles de hogares.
Por motivos puramente lúdicos, Azdoufal utilizó el asistente de codificación Claude Code AI de Anthropic para realizar ingeniería inversa en los protocolos de comunicación de su Romo. Pero cuando su aplicación casera se conectó a los servidores de DJI, aproximadamente 7000 robots aspiradores de 24 países comenzaron a responder.
Podía ver las imágenes en directo de sus cámaras, escuchar a través de los micrófonos integrados y generar planos de casas que nunca había visitado. Con solo un número de serie de 14 dígitos, localizó el robot de un periodista de Verge, confirmó que estaba limpiando el salón con un 80 % de batería y elaboró un mapa preciso de la casa desde otro país.
El fallo técnico fue casi cómicamente básico. El gestor de mensajes MQTT de DJI no tenía controles de acceso a nivel de tema. Una vez que te autenticabas con un único token de dispositivo, podías ver el tráfico de otros dispositivos en texto plano.
No solo respondieron las aspiradoras. También aparecieron las estaciones de baterías portátiles Power de DJI, que funcionan con la misma infraestructura MQTT. Se trata de generadores de respaldo domésticos ampliables a 22,5 kWh, comercializados para mantener tu casa en funcionamiento durante los cortes de energía.
Lo que diferencia este caso de un descubrimiento de seguridad convencional es cómo ocurrió. Azdoufal utilizó Claude Code para descompilar la aplicación móvil de DJI, comprender su protocolo, extraer su propio token de autenticación y crear un cliente personalizado.
Las herramientas de codificación con IA están reduciendo el nivel de dificultad de la seguridad ofensiva avanzada. La población capaz de sondear los protocolos del Internet de las cosas (IoT) acaba de aumentar considerablemente, lo que erosiona aún más la confianza que aún quedaba en la seguridad a través de la oscuridad.
¿Por qué muchos aspiradores IoT son tan malos?
No es la primera vez que alguien controla remotamente un robot aspirador. En 2024, hackers se hicieron con el control de los aspiradores Ecovacs Deebot X2 en varias ciudades de Estados Unidos, gritando insultos a través de los altavoces y persiguiendo a las mascotas. La protección mediante PIN de Ecovacs solo se verificaba a través de la aplicación, nunca a través del servidor o el dispositivo.
El pasado mes de septiembre, la autoridad de consumo de Corea del Sur probó seis marcas. Mientras que Samsung y LG obtuvieron buenos resultados, se encontraron graves defectos en tres modelos chinos. El X50 Ultra de Dreame permitía la activación remota de la cámara. El investigador Dennis Giese informó posteriormente a la CISA de una vulnerabilidad TLS en la aplicación de Dreame. Dreame no respondió a las preguntas de la CISA.
El patrón se repite una y otra vez: los fabricantes comercializan aspiradoras con fallos de seguridad evidentes, ignoran a los investigadores y luego se apresuran a actuar cuando los periodistas publican la noticia.
La respuesta inicial de DJI empeoró las cosas. La portavoz Daisy Kong declaró a The Verge que el fallo se había solucionado la semana anterior. Esa declaración se produjo unos treinta minutos antes de que Azdoufal mostrara que miles de robots, incluida la unidad de prueba del propio periodista, seguían transmitiendo en directo. Posteriormente, DJI emitió un comunicado más completo en el que reconocía un problema de validación de permisos en el backend y dos parches, el 8 y el 10 de febrero.
DJI afirmó que el cifrado TLS siempre estaba activo, pero Azdoufal sostiene que eso protege la conexión, no lo que hay dentro de ella. También declaró a The Verge que siguen sin corregirse otras vulnerabilidades, como la posibilidad de eludir el PIN en la transmisión de la cámara.
Los reguladores están ejerciendo presión.
La regulación está llegando, poco a poco. La Ley de Ciberresiliencia de la UE exigirá la seguridad por diseño obligatoria para todos los productos conectados que se vendan en el bloque a partir de diciembre de 2027, con multas de hasta 15 millones de euros. La Ley PSTI del Reino Unido, en vigor desde abril de 2024, se convirtió en la primera ley del mundo que prohíbe las contraseñas predeterminadas en los dispositivos inteligentes. La marca Cyber Trust Mark de EE. UU., por el contrario, es voluntaria. Estos marcos se aplican técnicamente independientemente de la ubicación del fabricante. En la práctica, imponer multas a una empresa de Shenzhen que ignora las solicitudes de coordinación de la CISA es una propuesta completamente diferente.
Cómo mantenerse seguro
Hay medidas prácticas que puedes tomar:
- Comprueba las pruebas de seguridad independientes antes de comprar dispositivos conectados.
- Coloque los dispositivos IoT en una red de invitados independiente.
- Mantenga el firmware actualizado.
- Desactive las funciones que no necesite.
Y pregúntese si una aspiradora realmente necesita una cámara. Muchos modelos que solo cuentan con LiDAR navegan eficazmente sin vídeo. Si su dispositivo incluye una cámara o un micrófono, considere si se siente cómodo con esa exposición o cubra físicamente la lente cuando no lo utilice.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
