Lo que empezó como un proyecto personal para manejar su nuevo robot aspirador acabó convirtiéndose en una pesadilla de privacidad a escala mundial. Sammy Azdoufal, un ingeniero de software residente en Barcelona, intentaba construir una aplicación que le permitiera dirigir su DJI Romo con un control de PlayStation 5. Sin embargo, al probar el sistema descubrió que los mismos datos de autenticación que utilizaba para su propio dispositivo le abrían las puertas de miles de hogares ajenos.
El fallo no era menor. Azdoufal se encontró con que podía ver en tiempo real las imágenes de las cámaras de aproximadamente 7.000 aspiradores repartidos por 24 países. También podía escuchar a través de sus micrófonos y acceder a los detallados mapas de las viviendas que los robots habían generado durante su funcionamiento. La información incluía desde el número de serie del dispositivo hasta su ubicación aproximada a través de la dirección IP. En apenas nueve minutos, su ordenador catalogó más de 100.000 mensajes de dispositivos activos.
La vulnerabilidad no estaba en los robots en sí, sino en los servidores del fabricante. El problema residía en una mala gestión de permisos en el sistema de autenticación. Una vez que Azdoufal extrajo el «token» de su propio aspirador, los servidores de DJI no verificaron que esa clave solo debía dar acceso a un único dispositivo. Al suscribirse al canal de comunicación equivocado, empezó a recibir datos de todos los robots conectados a la misma infraestructura en la nube. Según explicó el propio descubridor, no realizó ningún ataque ni vulneró sistemas: simplemente siguió el rastro de la comunicación de su propio aparato.
La gravedad del asunto se confirmó cuando The Verge pudo comprobar el fallo en directo. Con solo facilitar a Azdoufal el número de serie de 14 dígitos de un aspirador de prueba, este pudo acceder a su estado, ver su nivel de batería e incluso obtener el mapa detallado de la vivienda donde se encontraba. En algunos casos, logró esquivar el código PIN que debería proteger el acceso a la cámara. DJI reconoció el problema y aseguró que ya estaba trabajando en una solución a finales de enero. Los parches se aplicaron en los servidores el 8 y el 10 de febrero, sin necesidad de que los usuarios actualizaran nada.
El incidente ha reavivado el debate sobre la seguridad de los dispositivos conectados que se introducen en los espacios más íntimos del hogar. El caso de las aspiradoras se suma a otros recientes con cámaras Ring o altavoces inteligentes que han puesto en duda el control real que los usuarios tienen sobre sus propios datos. La investigación de Azdoufal demuestra que, a veces, no hace falta un sofisticado ataque informático para exponer la vida de miles de personas: basta con un control de PlayStation, un poco de curiosidad y un error en la configuración de una nube.