En lo que podría calificarse como el «autogol» más épico de la seguridad IoT en los últimos tiempos, un ingeniero de software acaba de demostrar que, a veces, la curiosidad no solo mata al gato, sino que te otorga las llaves de 7.000 casas ajenas. El investigador, Sammy Azdoufal, no buscaba liderar una rebelión de las máquinas; su único pecado era querer conducir su flamante (y absurdamente caro) robot aspirador DJI Romo con un mando de PlayStation 5. Porque, seamos sinceros, ¿quién no querría hacer algo así?
Para hacer realidad este sueño geek, Azdoufal se apoyó en un asistente de programación por IA para aplicar ingeniería inversa a los protocolos de comunicación del robot. Tras lograr extraer el token de autenticación de su propio dispositivo, se conectó a los servidores de DJI. Pero en lugar de recibir respuesta de su humilde esclavo doméstico, se encontró con un ejército de unos 7.000 robots respondiendo al unísono. El fallo le otorgó acceso a transmisiones de cámara y micrófono en vivo, planos 2D de las viviendas en tiempo real y el estado de miles de dispositivos de usuarios que no sospechaban absolutamente nada.
La raíz del problema fue un descuido de seguridad tan absurdamente simple como catastrófico. Los servidores de backend de DJI validaban el token del usuario, pero aparentemente olvidaban el paso más crucial: verificar si ese usuario era realmente el dueño del aparato específico al que intentaba acceder. Era como tener una llave que, por un error de diseño, abría todas las puertas del vecindario. Azdoufal aclaró que no tuvo que «hackear» nada en el sentido tradicional: «No infringí ninguna norma, no me salté ninguna protección, no hubo ataques de fuerza bruta ni nada parecido», subrayó, señalando que simplemente cruzó una puerta digital que alguien se dejó abierta de par en par.
¿Por qué debería importarnos?
Este incidente es un caso de manual sobre los peligros de la seguridad en el ecosistema IoT actual. Estamos metiendo en la intimidad de nuestros hogares dispositivos equipados con ojos y oídos que, en ocasiones, están protegidos por el equivalente digital de un cerrojo de juguete. Aunque el potencial para una brecha de privacidad a escala global era aterrador, Azdoufal actuó de forma responsable y reportó la vulnerabilidad de inmediato.
Hay que reconocerle el mérito a DJI, que reaccionó con una rapidez envidiable. Tras recibir el aviso, la compañía parcheó el fallo crítico con una solución en sus servidores en apenas dos días, sin que los usuarios tuvieran que mover un dedo. Aunque queda en el aire la pregunta de cómo un error tan básico pudo llegar a la fase de producción, la respuesta fulminante evitó un desastre mayor y sirve como recordatorio para otros fabricantes: asegúrate de cerrar bien las puertas y, sobre todo, comprueba que tus llaves no sirvan para toda la ciudad.
