No hace falta vivir rodeado de gadgets para depender de la nube. A veces basta con un solo dispositivo “tonto” en apariencia —un robot aspirador— para que parte de la vida doméstica empiece a circular por servidores externos. Y cuando esa normalidad se rompe, el golpe llega en forma de preguntas incómodas: ¿quién puede ver qué?, ¿qué controles fallan?, ¿qué significa realmente “conectado” dentro de casa?

El caso que ha puesto el foco sobre estas dudas gira en torno a la DJI ROMO, el robot aspirador con el que DJI busca trasladar su experiencia en sensores y navegación del mundo de los drones al suelo del hogar. Según publicó un medio tecnológico estadounidense, un usuario aseguró haber tenido acceso a datos y actividad de miles de unidades repartidas por todo el planeta antes de que el problema se corrigiera.

La historia arranca de manera casi inocente. Sammy Azdoufal, directivo de estrategia de IA en una empresa de alquiler vacacional, quería controlar su propia ROMO con un mando de PS5 “porque era divertido”, tal y como contó a The Verge. Para lograrlo, desarrolló una aplicación casera que empezó a comunicarse con los servidores de DJI. Lo inesperado fue que, en lugar de responder solo su aspiradora, comenzaron a aparecer miles de dispositivos de distintos países que lo reconocían como si fuera su propietario.

En una demostración en directo, Azdoufal mostró cómo su herramienta detectaba robots en tiempo real: en apenas nueve minutos, catalogó 6.700 dispositivos en 24 países y recopiló más de 100.000 mensajes enviados por ellos. Esos mensajes viajaban a través de MQTT, un protocolo habitual en el Internet de las Cosas, y se actualizaban cada pocos segundos con datos como el número de serie, la estancia que estaban limpiando, la distancia recorrida o el momento en que volvían a la base de carga.

Azdoufal sostiene que no “hackeó” los servidores en el sentido clásico. Según su versión, analizó cómo se comunicaba su propia ROMO con la infraestructura de DJI y extrajo el token privado asociado al dispositivo, la credencial que permite autenticarse. Para descifrar los protocolos recurrió, como apoyo en la ingeniería inversa, a la herramienta de IA Claude Code. El problema, siempre según su explicación, llegó después: una vez autenticado como cliente válido, los servidores no limitaron adecuadamente a qué mensajes podía suscribirse.

DJI, por su parte, reconoció el fallo. Asegura que detectó la vulnerabilidad a finales de enero durante una revisión interna y que inició la remediación de inmediato. Según su comunicado, desplegó un primer parche el 8 de febrero y una segunda actualización el 10 de febrero para cubrir nodos que no habían recibido la corrección inicial. La compañía admite “un problema de validación de permisos de backend” relacionado con la comunicación MQTT entre dispositivo y servidor, aunque insiste en que el acceso no autorizado fue “extremadamente raro”. También subraya que la transmisión estaba cifrada mediante TLS y que los datos de dispositivos europeos se almacenan en infraestructura de AWS ubicada en Estados Unidos.

Más allá del parche, el episodio vuelve a abrir un debate que no se va: el de la privacidad en el hogar conectado. No hablamos de un electrodoméstico cualquiera, sino de un dispositivo con sensores, conectividad permanente y, según se discutía en el propio caso, incluso la presencia de un micrófono que el usuario llegó a cuestionar. Si alguien pudo detectar una exposición de este calibre casi por accidente, la pregunta es inevitable: ¿cómo se auditan estos sistemas antes de llegar al mercado y qué garantías reales tiene el usuario cuando deja que su casa se comunique, cada pocos segundos, con la nube?