En marzo de 2026, un hallazgo inesperado sacudió la seguridad de los hogares conectados a través de los robots aspiradores Romo de la empresa DJI. Sammy Azdoufal, un usuario que intentaba controlar su nueva aspiradora con un mando de PlayStation 5, descubrió que podía acceder remotamente a miles de dispositivos en todo el mundo.
Azdoufal desarrolló una aplicación casera para manejar su robot a distancia, pero al conectarla con los servidores de DJI, notó que no solo su dispositivo respondía, sino que también tenía acceso a otras 6.700 aspiradoras repartidas en 24 países. Esta vulnerabilidad le permitió ver y escuchar a través de las cámaras integradas, así como obtener planos detallados de las casas.
Durante una demostración en vivo, Azdoufal recopiló más de 100.000 mensajes que contenían datos como tareas de limpieza, distancias recorridas, obstáculos detectados y horarios de recarga. Además, pudo acceder a la transmisión de video en directo, incluso evadiendo el sistema de PIN de seguridad.
Lo más sorprendente fue que no utilizó técnicas avanzadas de hackeo, sino que extrajo el token privado de su propio robot, una credencial que debería limitar el acceso únicamente a su dispositivo. Sin embargo, el sistema de DJI le concedió acceso a miles de otros robots y sus datos asociados.
El protocolo de comunicación de estos robots, MQTT, transmite información constantemente entre los dispositivos y la nube. Azdoufal explicó que “una vez que eres un cliente autenticado en el broker MQTT, si no existen controles de acceso a nivel de tópico, puedes suscribirte a temas comodín y ver todos los mensajes en texto plano en la capa de aplicación”. Esto significa que el cifrado TLS protege el canal, pero no impide que usuarios autenticados accedan a toda la información si no hay filtros internos.
La vulnerabilidad no era solo teórica. En pruebas realizadas junto a terceros, como el CTO de una consultora francesa, se comprobó que cualquier persona con acceso al token y conocimientos básicos podía observar la transmisión de video y datos de otros usuarios, poniendo en riesgo la privacidad de miles de personas.
DJI declaró que ya estaba trabajando en solucionar algunas vulnerabilidades antes de la divulgación pública y aseguró haber comenzado a desplegar parches. Sin embargo, tras la demostración de Azdoufal, se confirmó que miles de dispositivos seguían siendo accesibles desde el exterior. Finalmente, la empresa cerró el acceso remoto no autorizado, bloqueando incluso el control legítimo del propio Azdoufal.
Como reconocimiento por su descubrimiento, DJI otorgó a Sammy Azdoufal una recompensa de 30.000 dólares, sin especificar cuál de las vulnerabilidades reportadas motivó el pago. La compañía confirmó que había solucionado el problema que permitía ver la transmisión de video sin PIN y que planea implementar una actualización integral en el plazo de un mes.