Recientemente, un experimento casero que buscaba manejar una aspiradora robot con un joystick terminó provocando un error en la nube que convirtió a miles de aspiradoras robot en una red potencial de vigilancia. Sammy Azdoufal, residente español, estaba armando una app propia cuando descubrió que las credenciales de su robot también le abrían la puerta a datos y control de miles de unidades más.
Según The Verge, este el incidente no se dio frente a un hacker brillante, sino ante una falla de permisos en el backend. Si el servidor no valida bien qué usuario es dueño de qué dispositivo, la seguridad se rompe aunque el tráfico esté cifrado. Esa es la pesadilla recurrente del Internet de las Cosas: la casa como un conjunto de sensores móviles conectados a servicios remotos.
Un hackeo por accidente
Según el reporte, Azdoufal extrajo el token de su propia DJI Romo, es decir, la clave que el servidor usa para reconocerlo, y, al conectarse, empezó a recibir respuestas no de un robot, sino de miles. Su laptop llegó a catalogar 6.700 dispositivos en 24 países en cuestión de minutos, mientras estos enviaban paquetes MQTT cada pocos segundos con telemetría: número de serie, qué ambiente limpiaban, nivel de batería, obstáculos y trayectorias. Con un número de serie de 14 dígitos, pudo ubicar el robot de un periodista, ver que estaba limpiando el living y obtener el plano 2D de la casa. También pudo acceder a video en vivo y audio, y el uso de IPs para estimar ubicación aproximada.
DJI reconoció una validación de permisos defectuosa en esa comunicación basada en MQTT y dijo que la corrigió con dos actualizaciones automáticas, una el 8 de febrero y otra el 10 de febrero de 2026, sin acción del usuario. El matiz importante es este que el cifrado tipo TLS puede proteger la via por donde viajan los datos, pero si el sistema deja entrar a un cliente autenticado sin controles de acceso, ese cliente puede acceder a la información de muchos más dispositivos.
Los peligros del Internet de las Cosas (IoT)
Lo preocupante es que el incidente no es una rareza aislada del mercado, sino un patrón. En 2024, una investigación de ABC mostró vulnerabilidades serias en robots aspiradora con cámara (Ecovacs/Deebot), capaces de exponer imágenes y permitir espionaje remoto en ciertos escenarios. En 2025, Kaspersky también advirtió sobre ataques reales que explotaban fallas para espiar y hostigar a personas a través de este tipo de dispositivos. La diferencia ahora es la escala y la facilidad: herramientas de asistencia por IA para programar pueden acelerar el paso a paso de ingeniería inversa y bajar la barrera de entrada para encontrar y explotar errores.
La discusión va más allá del modelo de IoT puntual. Robots como estos no solo limpian, hacen mapeo detallado del interior del hogar, registran rutinas cuando hay gente presente, incorporan cámaras para navegación u obstáculos, y a veces micrófonos. Para funcionar, casi siempre dependen de la nube, para autenticación, streaming, actualizaciones y telemetría.
La lectura para los usuarios es clara: cuando un electrodoméstico trae sensores y conectividad, hay que tratarlo como una computadora en el piso del living. Y, para la industria: no alcanza con cifrar, hay que diseñar bien la autorización, segmentar por dispositivos, limitar exposición de datos y responder rápido cuando aparece una falla.
Tal vez te interese: China exhibe 49 robots humanoides con altas capacidades de combate en Pekín
