Un control de PS5, una IA y 7.000 aspiradoras hackeadas
El hackeo accidental de los robots aspiradores DJI Romo
El ingeniero de software Sammy Azdoufal solo quería divertirse un poco. Su objetivo era sencillo: modificar su nuevo robot aspirador DJI Romo para poder manejarlo utilizando el mando de su PlayStation 5. Para lograrlo, utilizó la herramienta de inteligencia artificial Claude para aplicar ingeniería inversa a los protocolos de comunicación de la aplicación de DJI.
Sin embargo, lo que comenzó como un proyecto personal se transformó en un descubrimiento de seguridad masivo. Al conectar su cliente personalizado a los servidores de la compañía, Azdoufal no solo obtuvo control sobre su propio dispositivo, sino que accidentalmente ganó acceso a aproximadamente 7.000 robots aspiradores DJI Romo distribuidos en 24 países.
Un nivel de acceso preocupante
La vulnerabilidad descubierta era alarmante. Al extraer el token de seguridad de su propio dispositivo, los servidores de la compañía lo trataron como si fuera el administrador de toda esa red de robots. Azdoufal descubrió que podía:
- Acceder a las transmisiones de video en vivo de las cámaras de los robots.
- Escuchar a través de los micrófonos integrados (algo que el propio Azdoufal consideró inusual para una aspiradora).
- Ver planos bidimensionales detallados y en tiempo real de las casas de los usuarios.
- Conocer la ubicación aproximada de los dispositivos y su estado actual.
Azdoufal se puso en contacto con la empresa y con los medios de comunicación para reportar la falla de seguridad, demostrando cómo su sistema había recopilado más de 100.000 mensajes de los dispositivos en unos pocos minutos sin necesidad de vulnerar los servidores mediante fuerza bruta.
La respuesta de DJI y la recompensa de 30.000 dólares
Tras el reporte inicial en febrero de 2026, la empresa fabricante tomó medidas inmediatas, bloqueando el acceso a la red y comenzando a solucionar las vulnerabilidades.
Recientemente, se ha confirmado que DJI recompensará a Sammy Azdoufal con 30.000 dólares en el marco de su programa de recompensas por descubrir errores de seguridad. Este pago representa un paso positivo en la relación de la empresa con la comunidad de investigadores de ciberseguridad. Además, la compañía anunció que la vulnerabilidad que permitía ver las transmisiones de video sin un PIN de seguridad ya ha sido corregida, y esperan implementar actualizaciones adicionales para resolver cualquier problema restante en el transcurso de un mes.