Lo que comenzó como un experimento casero terminó convirtiéndose en una historia de ciberseguridad global. Sammy Azdoufal, un ingeniero de software, intentaba conectar su robot aspirador DJI Romo a un mando de PS5. Para lograrlo, usó una herramienta de inteligencia artificial llamada Claude Code. El resultado fue inesperado: en lugar de controlar solo su dispositivo, obtuvo acceso a más de 7,000 aspiradoras robot en todo el mundo.
El incidente, revelado por The Verge y retomado por Popular Science, expuso cómo una vulnerabilidad en la autenticación de DJI permitió que un solo token validara el acceso a miles de aparatos. El problema no solo era técnico: estas aspiradoras cuentan con cámaras y micrófonos, lo que significaba que Azdoufal podía ver y escuchar en tiempo real lo que ocurría en hogares de 24 países distintos.
El hackeo accidental que dio acceso a 7,000 aspiradoras robot y expuso hogares en 24 países
El ingeniero utilizó Claude Code para crear una aplicación personalizada que se comunicara con la API de DJI. Al extraer un token de autenticación, logró controlar su aspiradora… y sin querer también miles más. El sistema no verificaba la propiedad individual de cada dispositivo, por lo que el token lo validó como dueño de todos.
En pruebas posteriores, Azdoufal demostró que podía acceder a información detallada: número de serie de cada robot, mapas de habitaciones, obstáculos detectados y hasta la ubicación aproximada mediante direcciones IP. En apenas nueve minutos, su computadora catalogó más de 6,700 dispositivos activos en 24 países.
El riesgo de los dispositivos conectados en casa
Aunque el acceso accidental pudo haber derivado en extorsiones o filtraciones de datos, Azdoufal optó por reportar la vulnerabilidad a DJI. La compañía corrigió el fallo en dos días, pero el episodio dejó claro lo que expertos en ciberseguridad llevan años advirtiendo: los aparatos inteligentes con cámaras y micrófonos son objetivos atractivos para hackers.
El caso también muestra cómo las herramientas de programación basadas en IA facilitan que personas con conocimientos limitados puedan explotar fallas de software. En un mundo donde los hogares adoptan cada vez más dispositivos conectados, detectar y corregir vulnerabilidades será un reto creciente.
No solo las aspiradoras robot, las centrales eléctricas de DJI también utilizan el sistema vulnerado | The Verge
La respuesta de DJI ante las 7,000 aspiradoras vulneradas
DJI confirmó que había identificado la vulnerabilidad en su plataforma DJI Home y que aplicó dos actualizaciones automáticas en febrero para solucionarla. La empresa aseguró que seguirá implementando mejoras de seguridad, aunque no especificó cuáles:
La pregunta que queda es qué pasará cuando surja la próxima falla. Si un ingeniero independiente pudo acceder a miles de robots con una herramienta de IA, ¿qué podrían lograr actores maliciosos con intenciones reales de espionaje o sabotaje?
Lo que podemos aprender de este hackeo accidental
El incidente es un recordatorio de que cualquier dispositivo conectado a internet puede convertirse en una ventana hacia la intimidad de un hogar. Aspiradoras, cámaras, enchufes inteligentes o bombillas conectadas deben mantenerse actualizados y, en lo posible, limitar su exposición en la red.
La recomendación de los expertos es usar solo los aparatos que realmente sean necesarios y desconectar aquellos que no se utilicen por un tiempo. Finalmente, la comodidad de la automatización no debería poner en riesgo la seguridad personal.
