La escena parece menor: un desarrollador que quiere manejar su aspirador con un mando de consola. Sin embargo, el experimento terminó revelando algo mucho más serio. Lo que empezó como una prueba doméstica abrió la puerta a miles de dispositivos repartidos por todo el mundo. De pronto, la frontera entre juguete tecnológico y sistema de vigilancia se volvió difusa.
Un experimento personal que destapó un problema global
El protagonista es Sammy Azdoufal, ingeniero de software que intentaba controlar su DJI Romo mediante una aplicación propia. Para entender cómo el robot se comunicaba con los servidores remotos de DJI, utilizó un asistente de código con IA y analizó el intercambio de credenciales.
Lo que encontró fue inquietante. El token que validaba su acceso no solo le permitía interactuar con su aspirador. También abría la puerta a cerca de 7.000 dispositivos activos en 24 países. Eso incluía acceso a cámaras en tiempo real, micrófonos, mapas del hogar y datos de estado del robot.
El Romo, lanzado inicialmente en China y con un precio cercano a 2.000 dólares, integra múltiples sensores para desplazarse y reconocer habitaciones. Parte de la información que recopila se almacena en la nube. Ese diseño, habitual en el sector, facilita el control remoto y la sincronización entre dispositivos, pero también amplía la superficie de exposición cuando algo falla.
Según el propio Azdoufal, no hubo intrusión forzada ni técnicas sofisticadas. Simplemente, el servidor validó permisos de más. En la práctica, el sistema trató a un usuario como si fuera propietario de miles de robots.
DJI confirmó que identificó la vulnerabilidad a finales de enero y desplegó dos actualizaciones automáticas, el 8 y el 10 de febrero, sin necesidad de intervención por parte de los usuarios.
Robots domésticos, datos sensibles y una confianza en revisión
El episodio llega en un momento delicado para el hogar conectado. Cámaras de seguridad, timbres inteligentes y asistentes con micrófono ya forman parte del día a día de millones de viviendas. Ahora, los robots móviles añaden movilidad a esa ecuación: no solo observan un punto fijo, recorren la casa y generan mapas detallados.
El riesgo no reside únicamente en el fabricante concreto, sino en el modelo de funcionamiento. Para distinguir una cocina de un dormitorio, estos sistemas deben procesar imágenes, objetos y distribución espacial. Esa información resulta extremadamente sensible si cae en manos equivocadas.
A la vez, el desarrollo de herramientas de programación asistidas por IA reduce la barrera técnica para detectar —o explotar— fallos similares. No es necesario ser un especialista en ciberseguridad para analizar una API mal protegida. Ese cambio altera el equilibrio entre fabricantes y usuarios.
Mientras empresas como DJI aseguran que el problema está resuelto, el caso del Romo expone una tensión creciente: cuanto más autónomos y conectados son los robots domésticos, mayor es la responsabilidad en la gestión de sus datos. Y en ese terreno, cada error pesa.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
FAQ
Un fallo en la validación de credenciales permitió que un usuario tuviera acceso a miles de robots distintos al suyo.
Aproximadamente 7.000 aspiradores en 24 países.
Cámaras en tiempo real, micrófonos, mapas del hogar y datos de funcionamiento.
DJI afirma que aplicó dos actualizaciones automáticas en febrero y que no se requiere acción del usuario.
No necesariamente. El incidente refleja un desafío estructural en los dispositivos domésticos conectados que dependen de servicios en la nube.
