Un hombre terminó controlando por accidente 7 mil robots aspiradores

 (popsci.com)
5 puntos por GN⁺ 2026-02-23 | 1 comentarios | Compartir por WhatsApp
  • Un ingeniero de software obtuvo acceso a 7 mil dispositivos mientras intentaba controlar un robot aspirador de DJI con un control de videojuegos
  • Durante el desarrollo de su propia app, usó un asistente de programación con IA para hacer ingeniería inversa del método de comunicación en la nube, y descubrió una falla de seguridad por la que las mismas credenciales también funcionaban en otros dispositivos
  • Esto podía exponer información sensible como video de cámara en tiempo real, audio del micrófono y datos de mapas en dispositivos de 24 países
  • En lugar de explotarlo, lo reportó a The Verge; DJI dijo que distribuyó de inmediato un parche y resolvió el problema
  • El caso está llamando la atención como una advertencia sobre las vulnerabilidades de seguridad en dispositivos de hogar inteligente y la amplificación de riesgos que pueden provocar las herramientas de IA

Falla de seguridad a gran escala descubierta en robots aspiradores de DJI

  • El ingeniero Sammy Azdoufal descubrió el problema mientras desarrollaba una app para controlar con un control de videojuegos su robot aspirador DJI Romo
    • Usó un asistente de programación con IA para analizar la comunicación entre el robot y los servidores en la nube de DJI
    • El servidor no verificaba solo la autenticación de un dispositivo, sino que otorgaba el mismo acceso a miles de dispositivos distintos
  • Como resultado, pudo acceder a la cámara, el micrófono, los mapas y los datos de estado de más de 7 mil robots aspiradores
    • A través de las direcciones IP también podía ver la ubicación aproximada de los dispositivos
    • Explicó que no se trató de un “hackeo”, sino de un problema de seguridad descubierto por accidente

Respuesta de DJI y parche de seguridad

  • DJI anunció que, durante una revisión interna a finales de enero, confirmó una vulnerabilidad relacionada con DJI Home y comenzó de inmediato el proceso de corrección
    • El 8 de febrero distribuyó un primer parche y el 10 de febrero una actualización adicional automática
    • El problema quedó resuelto sin que los usuarios tuvieran que hacer nada
  • DJI dijo que seguirá aplicando medidas adicionales de refuerzo de seguridad, aunque no reveló detalles concretos
  • Azdoufal reportó el problema a The Verge, lo que ayudó a que DJI reaccionara rápidamente

Crece la preocupación por la seguridad de los dispositivos de hogar inteligente

  • Este caso muestra que los robots conectados a internet y los dispositivos de hogar inteligente pueden convertirse en objetivos atractivos para atacantes
  • Controversias recientes como la polémica por los anuncios de cámaras Ring y los casos de recuperación de video en Google Nest han aumentado la preocupación de los consumidores por la privacidad
  • En Estados Unidos ya existen casos en los que algunos productos han sido prohibidos por los riesgos de seguridad de productos tecnológicos fabricados en China, incluido DJI

La expansión del hogar inteligente y la paradoja de la privacidad

  • En 2020, 54 millones de hogares en Estados Unidos tenían dispositivos de hogar inteligente
    • Quienes instalan uno suelen mostrar una tendencia a comprar más dispositivos después
  • Empresas como Tesla, Figure y 1X están desarrollando robots humanoides para el hogar, y algunos ya están a la venta
    • Como estos robots deben recopilar información detallada del interior de la casa, aumenta el riesgo de exposición de datos personales

El reto de equilibrar avance tecnológico y seguridad

  • Las herramientas de programación basadas en IA mejoran la eficiencia del desarrollo, pero al mismo tiempo también aumentan la posibilidad de que personas no expertas exploten vulnerabilidades
  • Este caso se considera un recordatorio de la importancia de la gestión de seguridad en entornos donde convergen IA e IoT
  • Azdoufal finalmente sí logró su objetivo de controlar el robot con un control de videojuegos, pero en el proceso dejó al descubierto las grietas de seguridad del hogar inteligente

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-23
Opiniones de Hacker News

  • Descubrió que con sus propias credenciales para controlar su dispositivo podía acceder a las cámaras, micrófonos, mapas y datos de estado de unos 7,000 robots aspiradora en 24 países del mundo
    El año pasado yo reporté públicamente exactamente el mismo problema en los termostatos inteligentes Mysa, donde las mismas credenciales permitían controlar todos los dispositivos
    Los detalles están resumidos en un hilo anterior de HN

    • Estos aparatos pueden convertirse en herramientas de espionaje casi perfectas
      Da miedo pensar que una aspiradora barata pueda espiar dentro de tu casa
    • Lo de los termostatos inteligentes da todavía más miedo
      El mini split Haier de mi casa también se conecta por WiFi mediante la app GE Home y envía datos a GE Cloud
      Lo usé una vez, luego cambié la contraseña del WiFi y no lo volví a conectar nunca más
      Más adelante pienso controlarlo yo mismo con un ESP32, sensores y transmisores/receptores IR
      Si hubiera una vulnerabilidad en este tipo de sistemas, un atacante incluso podría provocar un pico enorme en la demanda eléctrica
    • Me pregunto si durante la fabricación recortaron costos y no instalaron una clave única en cada dispositivo

  • Ya siento que estamos en una situación de renuncia total a la privacidad
    La gente acepta sin problema que haya cámaras dentro de su casa conectadas a servidores externos
    La minoría a la que sí le importa queda sepultada por la mayoría
    Al final, solo sale perdiendo la gente que se preocupa por su privacidad

  • Mi Roomba está programada para funcionar todos los días a las 5 pm, pero varias veces se ha despertado sola a las 7, entra al dormitorio y se queda ahí entre 5 y 10 minutos antes de regresar
    No tengo idea de por qué

    • Me pregunto si al menos se pone a limpiar
      Por cómo lo cuentas, suena a que literalmente se queda parada junto a la cama y luego se regresa

  • Por un momento, hubo una persona que aspiró más que cualquier otra en la historia de la humanidad
    (una forma humorística de referirse al incidente de los robots aspiradora)

  • Yo prefiero los dispositivos sin conexión a internet
    Las funciones básicas deberían operar de forma estable aun sin conexión, y lo ideal sería que internet solo agregara funciones extra mediante protocolos de seguridad abiertos
    Así uno mismo podría implementarlo si quisiera

  • Hace 10 años, en una startup usábamos un proveedor de 401k, y una vez al iniciar sesión pude ver la información de las cuentas de mis compañeros de trabajo
    El aislamiento entre cuentas estaba completamente roto
    Me impactó, pero lo dejé pasar en silencio para no exponer la privacidad de nadie
    Viéndolo ahora, debí haber insistido más con el tema

    • Yo también trato de actuar con prudencia normalmente
      Pero si la otra parte responde de forma negligente, entonces sí creo que vale la pena hacer público el problema

  • Gracias al avance tecnológico, ahora vivimos a escala de internet el chiste de Steven Wright:
    “Encendí un interruptor que no hacía nada y me llamaron de Alemania”

  • Artículo original: The Verge - vulnerabilidad de hackeo de DJI Romo
    Discusión relacionada en HN: enlace

  • Yo compré a propósito un modelo sin cámara ni micrófono

    • Mi Eufy afirma que todo el procesamiento se hace de forma local
      No lo he verificado personalmente, pero fue la única marca china que vi mencionar residencia de datos y privacidad, así que por eso la elegí
      Claro, sé que eso podría cambiar en cualquier momento con una actualización de firmware
      Aun así, estoy satisfecho porque tiene muy buena relación calidad-precio
    • Creo que el antiguo método de movimiento aleatorio de Roomba estaba subestimado
      Se veía ineficiente, pero en la práctica limpiaba bastante bien
    • Me pregunto si entre estos modelos sin cámara también hay alguno con función de vaciado automático
    • También quisiera saber si existe alguna forma de comprobar que realmente no tengan cámara ni micrófono
    • Y también preguntaría si el micrófono del smartphone les parece bien o no

  • Si alguien tiene aunque sea un poco de habilidad técnica, creo que le conviene comprar una aspiradora compatible con Valetudo y reemplazar el software original
    Sitio oficial de Valetudo

    • Pero después de leer la página “Why Not Valetudo” de ese sitio, cambié de opinión
      Yo sí tengo habilidad técnica, pero uso un robot aspiradora para ahorrar tiempo y dedicarlo a cosas más valiosas
      Valetudo no encaja con ese objetivo
      Es un proyecto genial, pero no es la mejor opción para todo el mundo
    • Me pregunto si Claude podría ayudar con la configuración para personas que no están familiarizadas con la tecnología