Ciencia y Tecnología
Un hombre intentaba controlar su robot aspirador con un mando: acabó teniendo acceso a 6.700 dispositivos en todo el mundo
<p>
 <img src="https://i.blogs.es/0f37b6/dji-romo-problema-seguridad-portada/1024_2000.jpeg" alt="Un hombre intentaba controlar su robot aspirador con un mando: acabó teniendo acceso a 6.700 dispositivos en todo el mundo ">
 </p>
<p>No hace falta tener una casa repleta de dispositivos para depender de la nube. Basta con un robot aspirador conectado para que parte de su información pase por servidores externos y podamos gestionarlo desde cualquier lugar. El modelo se ha normalizado y, en principio, funciona. Pero esa normalidad se resquebraja cuando surgen dudas sobre quién puede ver qué. Eso es lo que publicó una publicación tecnológica estadounidense a propósito de la <a class="text-outboundlink" href="https://www.xataka.com/domotica-1/dji-romo-caracteristicas-precio-ficha-tecnica" data-vars-post-title="DJI ROMO: el primer robot aspirador de DJI ya es oficial. Y sí, esquiva obstáculos con la tecnología de sus drones" data-vars-post-url="https://www.xataka.com/domotica-1/dji-romo-caracteristicas-precio-ficha-tecnica">DJI ROMO</a>: un usuario aseguró haber tenido acceso a datos y actividad de miles de dispositivos en todo el mundo antes de que el problema fuese corregido.</p>
<p><!-- BREAK 1 --></p>
<p><strong>Curiosidad y riesgo</strong>. La historia comienza con algo bastante más trivial de lo que cabría imaginar. Sammy Azdoufal, directivo de estrategia de IA en una empresa de alquiler vacacional, solo quería controlar su propia DJI ROMO con un mando de PS5 “porque era divertido”, <a rel="noopener, noreferrer" href="https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt">según explicó a The Verge</a>. Para ello desarrolló una aplicación casera que empezó a comunicarse con los servidores de DJI. Lo inesperado fue que no respondió únicamente su aspiradora. En lugar de un único dispositivo, comenzaron a aparecer miles, repartidos por distintos países, que lo reconocían como si fuese su propietario.</p>
<div class="article-asset-video article-asset-normal">
<div class="asset-content">
<div class="base-asset-video">
<div class="js-dailymotion"></div>
</p></div>
</p></div>
</div>
<p><strong>Qué podía ver y controlar.</strong> Lo que vino después es lo que realmente cambia el tono de la historia. Durante una demostración en directo, Azdoufal mostró cómo su herramienta iba detectando dispositivos en tiempo real: en apenas nueve minutos había catalogado 6.700 robots en 24 países y recopilado más de 100.000 mensajes enviados por ellos. Cada uno reportaba información cada pocos segundos a través de <a rel="noopener, noreferrer" href="https://aws.amazon.com/what-is/mqtt/">un protocolo llamado MQTT</a>, habitual en dispositivos conectados, indicando su número de serie, qué estancia estaban limpiando, cuánto habían recorrido o cuándo regresaban a la base de carga.</p>
<p><!-- BREAK 2 --></p>
<p>Según explicó el propio Azdoufal, no necesitó “hackear” los servidores de la compañía en el sentido clásico. Lo que hizo fue analizar cómo se comunicaba su propia ROMO con la infraestructura de DJI y extraer el token privado asociado a su dispositivo, es decir, la credencial que le permite autenticarse ante el sistema. Para descifrar esos protocolos recurrió a la conocida herramienta de IA <a class="text-outboundlink" href="https://www.xataka.com/basics/que-claude-code" data-vars-post-title="Qué es Claude Code y qué puede hacer esta herramienta para programar con inteligencia artificial desde la terminal de tu ordenador" data-vars-post-url="https://www.xataka.com/basics/que-claude-code">Claude Code</a>, que utilizó como apoyo en el proceso de ingeniería inversa. El problema, siempre según su versión, es que una vez autenticado como cliente válido, los servidores no limitaron adecuadamente qué mensajes podía suscribirse a recibir.</p>
<div class="article-asset-image article-asset-normal article-asset-center">
<div class="asset-content">
<p> <img alt="Dji Romo" class="centro_sinmarco" src="https://i.blogs.es/ee5e27/dji-romo/450_1000.jpeg"></p></div>
</div>
<p><strong>La versión oficial y los parches.</strong> La compañía sostiene que detectó la vulnerabilidad a finales de enero mediante una revisión interna y que inició la remediación de inmediato. Según su comunicado, desplegó un primer parche el 8 de febrero y una segunda actualización el 10 de febrero para cubrir los nodos que no habían recibido la corrección inicial. DJI admite “un problema de validación de permisos de backend” relacionada con la comunicación MQTT entre dispositivo y servidor, aunque asegura que el acceso no autorizado fue “extremadamente raro”. También subraya que la transmisión estaba cifrada mediante TLS y que los datos de dispositivos europeos se almacenan en infraestructura de AWS ubicada en Estados Unidos.</p>
<p><!-- BREAK 3 --></p>
<p><strong>Preguntas sobre la mesa</strong>. Si un usuario pudo detectar ese nivel de exposición casi por accidente, cabe preguntarse cómo se auditan internamente estos sistemas y qué controles existen antes de que un producto llegue al mercado. No hablamos de un electrodoméstico cualquiera, sino de un dispositivo con sensores, cámara y conectividad permanente dentro del hogar. El propio Azdoufal cuestionaba incluso la presencia de un micrófono en una aspiradora. No es un debate nuevo: en los últimos años <a rel="noopener, noreferrer" href="https://www.tomshardware.com/tech-industry/big-tech/manufacturer-issues-remote-kill-command-to-nuke-smart-vacuum-after-engineer-blocks-it-from-collecting-data-user-revives-it-with-custom-hardware-and-python-scripts-to-run-offline">otros fabricantes han afrontado incidentes similares</a> con robots capaces de transmitir vídeo o almacenar imágenes.</p>
<div class="article-asset article-asset-normal article-asset-center">
<div class="desvio-container">
<div class="desvio">
<div class="desvio-figure js-desvio-figure">
 <a href="https://www.xataka.com/domotica-1/irobot-nokia-aspiradores-trono-robots-pasa-china-ecovacs-ha-vuelto-a-espana-para-reclamarlo" class="pivot-outboundlink" data-vars-post-title='"iRobot es la Nokia de los aspiradores": el trono de los robots está en China y Ecovacs quiere reclamarlo de nuevo'><br />
 <img alt='"iRobot es la Nokia de los aspiradores": el trono de los robots está en China y Ecovacs quiere reclamarlo de nuevo' width="375" height="142" src="https://i.blogs.es/8cdea8/ecovacs-truedge-mowing/375_142.jpeg"><br />
 </a>
 </div>
<div class="desvio-summary">
<div class="desvio-taxonomy js-desvio-taxonomy">
 <a href="https://www.xataka.com/domotica-1/irobot-nokia-aspiradores-trono-robots-pasa-china-ecovacs-ha-vuelto-a-espana-para-reclamarlo" class="desvio-taxonomy-anchor pivot-outboundlink" data-vars-post-title='"iRobot es la Nokia de los aspiradores": el trono de los robots está en China y Ecovacs quiere reclamarlo de nuevo'>En Xataka</a>
 </div>
<p> <a href="https://www.xataka.com/domotica-1/irobot-nokia-aspiradores-trono-robots-pasa-china-ecovacs-ha-vuelto-a-espana-para-reclamarlo" class="desvio-title js-desvio-title pivot-outboundlink" data-vars-post-title='"iRobot es la Nokia de los aspiradores": el trono de los robots está en China y Ecovacs quiere reclamarlo de nuevo'>&#8220;iRobot es la Nokia de los aspiradores&#8221;: el trono de los robots está en China y Ecovacs quiere reclamarlo de nuevo</a>
 </div>
</p></div>
</p></div>
</div>
<p><strong>Un cambio de escenario para DJI</strong>. Tras años dominando el aire con drones y sistemas de estabilización, la compañía decidió aplicar su ingeniería al suelo doméstico. El resultado fue DJI ROMO, un robot aspirador que combina sensores ópticos y LiDAR para generar mapas precisos y evitar obstáculos, apoyado en algoritmos de planificación y en la app DJI Home para gestionar zonas, modos y alertas. No es un simple electrodoméstico mecánico, sino una plataforma conectada que depende de datos continuos para funcionar con esa precisión. Y ahí es donde la seguridad adquiere un papel determinante.</p>
<p><!-- BREAK 4 --></p>
<p>Imágenes | DJI</p>
<p>En Xataka | <a class="text-outboundlink" href="https://www.xataka.com/seguridad/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad" data-vars-post-title="Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad" data-vars-post-url="https://www.xataka.com/seguridad/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad">Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad</a></p>
<p> &#8211; <br /> La noticia<br />
 <a href="https://www.xataka.com/seguridad/hombre-intentaba-controlar-su-robot-aspirador-mando-acabo-teniendo-acceso-a-6-700-dispositivos-todo-mundo?utm_source=feedburner&;utm_medium=feed&;utm_campaign=25_Feb_2026"><br />
 <em> Un hombre intentaba controlar su robot aspirador con un mando: acabó teniendo acceso a 6.700 dispositivos en todo el mundo </em><br />
 </a><br />
 fue publicada originalmente en<br />
 <a href="https://www.xataka.com/?utm_source=feedburner&;utm_medium=feed&;utm_campaign=25_Feb_2026"><br />
 <strong> Xataka </strong><br />
 </a><br />
 por <a href="https://www.xataka.com/autor/javier-marquez?utm_source=feedburner&;utm_medium=feed&;utm_campaign=25_Feb_2026"><br />
 Javier Marquez<br />
 </a><br />
 . </p>
<p>​No hace falta tener una casa repleta de dispositivos para depender de la nube. Basta con un robot aspirador conectado para que parte de su información pase por servidores externos y podamos gestionarlo desde cualquier lugar. El modelo se ha normalizado y, en principio, funciona. Pero esa normalidad se resquebraja cuando surgen dudas sobre quién puede ver qué. Eso es lo que publicó una publicación tecnológica estadounidense a propósito de la DJI ROMO: un usuario aseguró haber tenido acceso a datos y actividad de miles de dispositivos en todo el mundo antes de que el problema fuese corregido.<br />
Curiosidad y riesgo. La historia comienza con algo bastante más trivial de lo que cabría imaginar. Sammy Azdoufal, directivo de estrategia de IA en una empresa de alquiler vacacional, solo quería controlar su propia DJI ROMO con un mando de PS5 “porque era divertido”, según explicó a The Verge. Para ello desarrolló una aplicación casera que empezó a comunicarse con los servidores de DJI. Lo inesperado fue que no respondió únicamente su aspiradora. En lugar de un único dispositivo, comenzaron a aparecer miles, repartidos por distintos países, que lo reconocían como si fuese su propietario.</p>
<p>Qué podía ver y controlar. Lo que vino después es lo que realmente cambia el tono de la historia. Durante una demostración en directo, Azdoufal mostró cómo su herramienta iba detectando dispositivos en tiempo real: en apenas nueve minutos había catalogado 6.700 robots en 24 países y recopilado más de 100.000 mensajes enviados por ellos. Cada uno reportaba información cada pocos segundos a través de un protocolo llamado MQTT, habitual en dispositivos conectados, indicando su número de serie, qué estancia estaban limpiando, cuánto habían recorrido o cuándo regresaban a la base de carga.<br />
Según explicó el propio Azdoufal, no necesitó “hackear” los servidores de la compañía en el sentido clásico. Lo que hizo fue analizar cómo se comunicaba su propia ROMO con la infraestructura de DJI y extraer el token privado asociado a su dispositivo, es decir, la credencial que le permite autenticarse ante el sistema. Para descifrar esos protocolos recurrió a la conocida herramienta de IA Claude Code, que utilizó como apoyo en el proceso de ingeniería inversa. El problema, siempre según su versión, es que una vez autenticado como cliente válido, los servidores no limitaron adecuadamente qué mensajes podía suscribirse a recibir.</p>
<p>La versión oficial y los parches. La compañía sostiene que detectó la vulnerabilidad a finales de enero mediante una revisión interna y que inició la remediación de inmediato. Según su comunicado, desplegó un primer parche el 8 de febrero y una segunda actualización el 10 de febrero para cubrir los nodos que no habían recibido la corrección inicial. DJI admite “un problema de validación de permisos de backend” relacionada con la comunicación MQTT entre dispositivo y servidor, aunque asegura que el acceso no autorizado fue “extremadamente raro”. También subraya que la transmisión estaba cifrada mediante TLS y que los datos de dispositivos europeos se almacenan en infraestructura de AWS ubicada en Estados Unidos.<br />
Preguntas sobre la mesa. Si un usuario pudo detectar ese nivel de exposición casi por accidente, cabe preguntarse cómo se auditan internamente estos sistemas y qué controles existen antes de que un producto llegue al mercado. No hablamos de un electrodoméstico cualquiera, sino de un dispositivo con sensores, cámara y conectividad permanente dentro del hogar. El propio Azdoufal cuestionaba incluso la presencia de un micrófono en una aspiradora. No es un debate nuevo: en los últimos años otros fabricantes han afrontado incidentes similares con robots capaces de transmitir vídeo o almacenar imágenes.</p>
<p> En Xataka</p>
<p> &#8220;iRobot es la Nokia de los aspiradores&#8221;: el trono de los robots está en China y Ecovacs quiere reclamarlo de nuevo</p>
<p>Un cambio de escenario para DJI. Tras años dominando el aire con drones y sistemas de estabilización, la compañía decidió aplicar su ingeniería al suelo doméstico. El resultado fue DJI ROMO, un robot aspirador que combina sensores ópticos y LiDAR para generar mapas precisos y evitar obstáculos, apoyado en algoritmos de planificación y en la app DJI Home para gestionar zonas, modos y alertas. No es un simple electrodoméstico mecánico, sino una plataforma conectada que depende de datos continuos para funcionar con esa precisión. Y ahí es donde la seguridad adquiere un papel determinante.<br />
Imágenes | DJI<br />
En Xataka | Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad</p>
<p> &#8211; La noticia</p>
<p> Un hombre intentaba controlar su robot aspirador con un mando: acabó teniendo acceso a 6.700 dispositivos en todo el mundo </p>
<p> fue publicada originalmente en</p>
<p> Xataka </p>
<p> por<br />
 Javier Marquez</p>
<p> . </p>
<p>​ </p>
<p>​ </p>