Un hombre descubrió una falla en aspiradoras robot usando el control de su PlayStation y terminó “hackeando” las cámaras de miles de casas; una empresa le ofreció 30 mil dólares por el descubrimiento

MÉXICO.- Un investigador que intentaba controlar su aspiradora robot con un control de PlayStation descubrió accidentalmente que podía acceder a miles de dispositivos similares conectados a Internet, incluyendo información privada como mapas de casas, horarios de limpieza e incluso transmisiones de video desde las cámaras integradas.

El caso involucra a aspiradoras robot Romo de la empresa DJI, cuyos sistemas presentaban una vulnerabilidad que permitía consultar información de otros dispositivos registrados en sus servidores.

De acuerdo con información publicada por Infobae y analizada por especialistas en tecnología, el investigador pudo identificar casi 7,000 robots activos en 24 países en cuestión de minutos.

Tecnología

PlayStation 6 llegaría hasta 2028 y Nintendo evalúa subir el precio de Switch 2 por la escasez de memoria causada por la IA

Tras la divulgación del hallazgo, la empresa confirmó que corregirá el problema y recompensará al investigador con $30,000 dólares, mientras implementa mejoras de seguridad en su plataforma.

Te puede interesar: CES 2025: Dreame X50 Ultra, la aspiradora robot que tiene patas para subir escalones

Un experimento con un control de PlayStation reveló el problema

El investigador de seguridad Sammy Azdoufal no estaba intentando hackear ningún sistema. Su objetivo era manejar su aspiradora robot con un control de PlayStation 5.

Para hacerlo, desarrolló una pequeña aplicación que enviaba comandos al dispositivo desde su computadora. Pero cuando conectó su aplicación a los servidores de la empresa ocurrió algo inesperado.

No solo su aspiradora respondió a las órdenes, también comenzaron a aparecer miles de robots de otros usuarios.

Esto significaba que el sistema permitía acceder a información de dispositivos ajenos sin autorización.

Qué información de los hogares quedaba expuesta

Durante sus pruebas, el investigador descubrió que el acceso no era limitado. El sistema permitía visualizar datos generados por los robots en tiempo real.

Entre la información disponible estaban:

• Mapas detallados de las casas generados por los sensores del robot
• Trayectorias y rutas de limpieza
• Horarios de funcionamiento
• Obstáculos detectados en el hogar
• Estado de batería y recarga
• Mensajes internos del sistema
• Transmisiones de video desde las cámaras integradas

En una demostración pública, Azdoufal explicó que su computadora pudo detectar 6,700 dispositivos en solo nueve minutos y recopilar más de 100,000 mensajes de actividad enviados por los robots.

Tecnología

PlayStation 6 llegaría hasta 2028 y Nintendo evalúa subir el precio de Switch 2 por la escasez de memoria causada por la IA

Esto evidenció un riesgo potencial para la privacidad de los usuarios.

El error estaba en la comunicación entre los robots y la nube

El problema se encontraba en la forma en que los robots se comunicaban con los servidores de la empresa.

Estos dispositivos utilizan el protocolo MQTT, un sistema ampliamente usado en aparatos del llamado Internet de las Cosas (IoT), que envía información constante entre los dispositivos y la nube.

El problema es que una vez que eres un cliente autenticado en el broker MQTT, si no existen controles de acceso a nivel de tópico, puedes suscribirte a temas comodín y ver todos los mensajes en texto plano en la capa de aplicación” explicó Azdoufal.

En términos simples, el sistema protegía la conexión, pero no limitaba correctamente qué información podía ver cada usuario autenticado.

Esto permitió que alguien con acceso al sistema pudiera visualizar datos de múltiples dispositivos.

Cómo reaccionó la empresa al descubrir la vulnerabilidad

Tras recibir el reporte del investigador, la empresa informó que estaba trabajando en una solución.

Inicialmente aseguró que el problema había sido corregido. Sin embargo, pruebas realizadas posteriormente por el propio investigador y por el medio tecnológico The Verge indicaron que algunos dispositivos seguían siendo accesibles.

Finalmente, la empresa cerró el acceso no autorizado en todos sus servidores al día siguiente de la demostración pública.

El bloqueo fue completo, incluso impidiendo que el propio investigador siguiera accediendo a su robot.

La recompensa por revelar el problema

Como parte de su programa de recompensas por vulnerabilidades, la empresa decidió pagar $30,000 dólares al investigador.

La compañía confirmó que:

• Se corrigió el acceso a transmisiones de video sin PIN
• Se bloquearon los canales que permitían consultar datos de otros robots
• Se trabaja en actualizaciones adicionales de seguridad que se implementarán en un mes

Este tipo de programas permite que investigadores independientes detecten errores antes de que puedan ser aprovechados por ciberdelincuentes.

Lo que este caso revela sobre los hogares inteligentes

El incidente también vuelve a poner atención en los riesgos de los dispositivos conectados a Internet dentro del hogar.

Aparatos como:

• Aspiradoras robot
• Cámaras de seguridad
• Televisores inteligentes
• Asistentes de voz

recopilan información constante sobre el entorno doméstico.

Si estos sistemas presentan fallas de seguridad, los datos podrían quedar expuestos.

Cómo proteger los dispositivos inteligentes en casa

Especialistas en ciberseguridad recomiendan seguir algunas medidas básicas para reducir riesgos:

• Actualizar siempre el softwareLas actualizaciones corrigen fallas detectadas por las empresas.
• Cambiar las contraseñas predeterminadasMuchos dispositivos incluyen claves básicas que deben modificarse.
• Revisar permisos de cámara y micrófonoEspecialmente en equipos con transmisión de video.
• Evitar redes WiFi públicas o abiertasEstas redes pueden facilitar accesos no autorizados.
• Controlar los dispositivos vinculados a la cuentaEs importante revisar qué aparatos están registrados.