La escena no comienza con un ciberataque sofisticado ni con una operación clandestina. Empieza con una idea casi lúdica: controlar un robot aspirador con un mando de PS5. Sammy Azdoufal, directivo de estrategia de IA en el sector del alquiler vacacional, decidió crear una aplicación casera para comunicarse con su propia aspiradora DJI ROMO. Lo que encontró al conectar con los servidores de la compañía no fue únicamente su dispositivo.
En cuestión de minutos comenzaron a aparecer miles de robots activos repartidos por distintos países. En una demostración posterior, Azdoufal mostró cómo su herramienta detectaba dispositivos en tiempo real. En apenas nueve minutos había identificado 6.700 robots en 24 países y recopilado más de 100.000 mensajes enviados por ellos.
Cómo una prueba doméstica terminó revelando un fallo global
El acceso no se produjo mediante una intrusión clásica ni a través de una brecha externa en los sistemas de DJI. Según la explicación ofrecida por el propio usuario, el procedimiento consistió en analizar cómo su aspiradora se comunicaba con la infraestructura en la nube y extraer el token privado que autentica al dispositivo frente a los servidores.
El protocolo utilizado para la comunicación era MQTT, habitual en dispositivos IoT por su eficiencia en el intercambio de mensajes frecuentes. Cada robot transmitía información cada pocos segundos: número de serie, estancia que estaba limpiando, trayecto recorrido o momento de regreso a la base de carga. Una vez autenticado como cliente válido, el sistema no limitó adecuadamente a qué canales podía suscribirse.
El problema no estaba en la encriptación —la compañía sostiene que la transmisión utilizaba TLS— sino en la validación de permisos en el backend. Es decir, el servidor aceptaba la identidad del usuario, pero no restringía correctamente el alcance de los datos a los que podía acceder.
La respuesta de DJI y los parches
DJI afirmó haber detectado la vulnerabilidad a finales de enero en una revisión interna y aseguró haber desplegado un primer parche el 8 de febrero, seguido de una segunda actualización el día 10 para cubrir nodos que no habían recibido la corrección inicial. La empresa describió el incidente como un problema de validación de permisos relacionado con la comunicación MQTT y señaló que el acceso no autorizado fue “extremadamente raro”.
También subrayó que los datos de dispositivos europeos se almacenan en infraestructura de AWS ubicada en Estados Unidos y que la transmisión estaba cifrada. Sin embargo, el hecho de que un usuario pudiera suscribirse a mensajes de miles de dispositivos plantea preguntas sobre los mecanismos de auditoría y las pruebas de seguridad previas al lanzamiento.
El hogar inteligente y la ilusión de control
El caso trasciende a un modelo concreto de aspiradora. La DJI ROMO no es un electrodoméstico aislado, sino una plataforma conectada que integra sensores ópticos, LiDAR y algoritmos de planificación para generar mapas detallados del hogar. Depende de la nube para ofrecer control remoto, actualizaciones y gestión avanzada desde la aplicación móvil.
Ese modelo se ha convertido en norma en el ecosistema doméstico. No hace falta llenar la casa de dispositivos para depender de servidores externos; basta con uno solo. El atractivo es evidente: comodidad, monitorización y automatización. El riesgo es menos visible, pero igualmente real.
Cuando un aparato con sensores, cámaras o conectividad permanente forma parte del entorno íntimo del hogar, la seguridad deja de ser un detalle técnico para convertirse en un elemento estructural. La pregunta no es solo si el sistema está cifrado, sino si está correctamente segmentado y auditado.
Lo ocurrido no implica necesariamente una explotación masiva ni una filtración pública de datos. Sin embargo, demuestra que la frontera entre curiosidad técnica y exposición involuntaria puede ser más fina de lo que parece. En la era del hogar conectado, la confianza se sostiene sobre líneas de código que rara vez vemos, pero que determinan hasta dónde llega realmente nuestro control.
