la recent falla de seguretat als robots aspiradors DJI ROMO ha encès totes les alarmes sobre el que pot passar quan un dispositiu que recorre casa nostra, amb càmera i micròfon integrats, es converteix en una porta d'entrada per a tercers. El cas ha esquitxat de ple Europa, amb especial rellevància a països com Espanya, on aquests equips comencen a guanyar presència a les llars.
El que semblava un simple robot de neteja d'alta gamma va acabar sent un exemple molt clar de com una mala gestió de permisos i autenticació pot exposar la intimitat de milers dusuaris. Durant uns quants dies, va resultar possible controlar de forma remota aspiradores ROMO, veure el que captaven les seves càmeres, escoltar a través dels seus micròfons i fins i tot traçar plànols detallats d'habitatges sense el coneixement dels propietaris.
Un experiment domèstic que va destapar una bretxa global
El protagonista d´aquesta història és Sammy Azdoufal, director d'estratègia d'Intel·ligència Artificial a l'empresa de lloguer d'habitatges Emerald Stay i desenvolupador d'aplicacions establertes a Barcelona. Tot va començar quan va decidir, gairebé per curiositat, vincular la seva aspiradora DJI ROMO a un comandament de PlayStation 5 per controlar-la com si fos un cotxe teledirigit.
Per aconseguir-ho, Azdoufal va crear una aplicació de comandament a distància usant un assistent d'IA i va aplicar tècniques d'enginyeria inversa sobre els protocols de comunicació de DJI. La seva intenció inicial era simplement comunicar-se amb el seu propi robot, però en connectar amb els servidors de la companyia va passar una cosa inesperada: van començar a respondre milers d'aspiradores que no eren seves.
En qüestió de minuts, el seu portàtil va arribar a identificar al voltant de 6.700-7.000 dispositius repartits per 24 països, arribant posteriorment a tenir visibilitat sobre uns 10.000 aparells entre robots ROMO i altres equips connectats. Cada pocs segons, els dispositius enviaven missatges amb dades d'estat, rutes de neteja, número de sèrie i altra informació tècnica que es va acumular a més de 100.000 missatges MQTT en tot just nou minuts.
La gravetat de l'assumpte no es limita al volum de dispositius aconseguits, sinó que l'accés s'aconseguia amb un únic element: el token privat extret del mateix robot d'Azdoufal. Aquest identificador, pensat perquè els servidors reconeguin un usuari legítim, actuava a la pràctica com una mena de “clau mestra” que obria la porta a milers de robots aliens.
Mitjans especialitzats com The Verge van comprovar la vulnerabilitat de primera mà: un periodista va permetre que Azdoufal intentés controlar el seu ROMO des de Barcelona, i aquest va aconseguir manejar el robot de forma remota només conèixer el seu número de sèrie, sense necessitat de contrasenyes addicionals.
Què podien veure i fer els atacants amb els ROMO
L'abast de la vulnerabilitat va molt més enllà d'encendre o apagar una aspiradora a distància. Gràcies a aquest error en la validació de permisos, qui explotés el problema podia controlar el moviment del robot i accedir a informació extremadament sensible sense cap autorització del propietari.
Entre les dades i funcions accessibles s'incloïen les càmeres integrades dels models més avançats, cosa que permetia veure imatges en directe de l'interior dels habitatges. A més, el sistema posava a disposició de qui es connectés els mapes 2D de les cases generades durant les sessions de neteja, amb el traçat de cada habitació, passadís i obstacle detectat.
A tot això se sumava la possibilitat de consultar paràmetres com el nivell de bateria, el recorregut exacte del robot, les estances que estava netejant a cada moment o els objectes que havia trobat en el seu camí. Amb aquestes dades, un atacant podia arribar a inferir hàbits i rutines, saber quan una casa era buida o localitzar zones especialment sensibles dins d'un domicili.
En alguns casos, el robot també pot servir com a punt de partida per esbrinar la ubicació aproximada de l'usuari, ja sigui a través de l'adreça IP o de la informació de xarxa associada. Aquest tipus de combinació –mapes de la llar, possibles imatges, àudio i dades tècniques– converteix un simple electrodomèstic en una font molt poderosa d'intel·ligència domèstica.
Azdoufal insisteix que, durant les seves proves, no va recórrer a tècniques de força bruta ni va vulnerar sistemes xifrats de manera tradicional. Segons el seu testimoni, es va limitar a utilitzar el token del dispositiu i es va trobar que els servidors li proporcionaven, per disseny defectuós, dades de milers d'usuaris més.
Com funciona la vulnerabilitat: el problema del token i el backend
Al centre d'aquest incident hi ha el sistema de comunicació entre els robots ROMO i la plataforma DJI Home, que utilitza el protocol MQTT per enviar i rebre dades en temps real. Aquesta tecnologia és habitual a l'Internet de les Coses perquè és lleugera i eficient, però requereix una gestió rigorosa de permisos perquè cada dispositiu només pugui accedir a la seva pròpia informació.
Segons ha explicat la pròpia companyia, el problema residia en un fallada de validació de permisos al backend, no al xifratge de les comunicacions. És a dir, les dades viatjaven de forma segura per la xarxa, però un cop dins de la infraestructura de DJI els controls que determinen què pot veure cada client no estaven correctament ajustats.
A la pràctica, el token privat del robot d'Azdoufal va actuar com un identificador global que permetia subscriure's a missatges d'altres dispositius, rebre'n la telemetria i fins i tot executar accions remotes. La decisió feia que el sistema acceptés aquestes peticions com si fossin legítimes, sense verificar adequadament que cada sol·licitud correspongués únicament al robot autoritzat.
Aquest tipus de vulnerabilitat és especialment delicat perquè se situa “del costat del servidor”. Encara que l'usuari tingui una connexió xifrada i una app aparentment segura, si el backend no s'aplica polítiques estrictes de control d'accés, un atacant amb els coneixements adequats pot moure's amb força llibertat dins del núvol del fabricant.
Especialistes en ciberseguretat recorden que casos així posen de manifest que amb el xifrat per si mateix no n'hi ha prou: TLS protegeix el canal, però no impedeix que un servei mal configurat lliuri informació sensible a qui no l'hauria de rebre. Per això cobren tanta importància les auditories externes de seguretat i els programes de recompensa per errors, especialment en productes que es fiquen literalment a casa de lusuari.
Resposta de DJI: pegats ràpids i missatge de calma
Després de la comunicació de la troballa per part d'Azdoufal i la seva posterior publicació a mitjans internacionals, DJI ha assegurat que la vulnerabilitat ja està completament solucionada. Segons la portaveu de la companyia, Daisy Kong, l'empresa va detectar internament un problema a DJI Home a finals de gener i va començar a desplegar pegats poc després.
En concret, la firma afirma haver llançat un primer pegat el 8 de febrer, seguit d'una actualització addicional el 10 de febrer per garantir que la correcció s'aplicava a tots els nodes de servei. La companyia sosté que aquesta segona actualització va ser la que va acabar d'estendre la solució a tota la seva infraestructura i va reinstaurar els controls de permisos que havien fallat inicialment.
DJI subratlla que la sentència es limitava a una possibilitat teòrica d'accés no autoritzat a vídeo en directe i altres dades dels ROMO, i que els casos reals detectats van ser “extremadament rars” i associats fonamentalment a investigadors de seguretat que estaven provant els dispositius. A més, l'empresa recalca que les comunicacions no es transmetien en text clar i que el xifratge seguia actiu en tot moment.
Després de rebre l'informe detallat d'Azdoufal, la companyia ha reiterat que “no hi ha evidència d'un impacte més ampli" sobre la seva base d'usuaris i que el problema ja està resolt. Tot i això, el mateix investigador ha reconegut el medi nord-americà que encara ha estat capaç de detectar una altra decisió greu relacionat amb els ROMO, que de moment prefereix no fer públic per no facilitar-ne l'explotació.
Des de l'empresa s'insisteix que mantenen estàndards estrictes de privadesa i seguretat, que han invertit en solucions de xifrat a nivell d'indústria i que compten amb un programa de recompensa d'errors per incentivar que aquest tipus de descobriments es comuniqui de manera responsable.
L'impacte per als usuaris a Espanya i Europa
En el context europeu, on la protecció de dades personals està fortament regulada pel RGPD, un incident com el dels DJI ROMO no passa desapercebut. Encara que la companyia insisteixi que el nombre d'afectats reals ha estat molt limitat, el fet que fos tècnicament possible accedir a càmeres, micròfons i mapes de la llar de milers dusuaris és, per si mateix, un motiu de preocupació.
A països com Espanya, on cada vegada més llars aposten per la domòtica i per dispositius connectats, aquest cas serveix com a recordatori que un robot aspirador no és només un electrodomèstic: és un sensor mòbil que recorre tota la casa i pot generar una radiografia molt precisa de com viu una família, quins espais utilitza, on guarda determinats objectes o quan sol estar absent.
Reguladors europeus i defensors de la privadesa fa temps que adverteixen dels riscos dels dispositius amb càmera i micròfon integrats, des d'altaveus intel·ligents fins a timbres amb vídeo o càmeres de vigilància domèstica. L'incident amb els ROMO se suma a una llista creixent de casos que mostren que no totes les marques assumeixen amb la mateixa serietat les implicacions de seguretat.
A més, en tractar-se d'una companyia amb infraestructura global i servidors distribuïts, sorgeixen dubtes addicionals sobre on s'emmagatzemen exactament les dades, qui hi pot accedir i sota quina jurisdicció es gestionen. Tot i que el xifratge dificulta l'accés a tercers externs, els mateixos empleats o serveis interns de l'empresa poden, en teoria, tractar aquesta informació, cosa que eleva el llistó de responsabilitat que s'exigeix a fabricants i proveïdors.
Per als usuaris europeus, aquest tipus d'incidents se sol traduir també en un major escrutini regulatori i en pressions perquè s'adoptin certificacions de ciberseguretat específiques per a productes de l'Internet de les Coses destinats a la llar, cosa que ja s'està debatent tant a Brussel·les com a diferents capitals nacionals.
Quines mesures poden prendre els propietaris de robots aspiradors
Encara que DJI insisteixi que no es requereix cap acció addicional per part dels usuaris i que els pegats ja s'han aplicat, l'episodi deixa clares algunes recomanacions pràctiques que poden ajudar a reduir riscos amb qualsevol robot aspirador connectat, sigui d'aquesta marca o no.
En primer lloc, convé revisar periòdicament les actualitzacions de microprogramari i de laplicació mòbil associada. La majoria de fabricants activen les actualitzacions automàtiques, però no és sobrer comprovar en els ajustaments que el dispositiu està realment al dia, sobretot després de notícies d'aquest tipus.
També és recomanable limitar els permisos que es concedeixen a les aplicacions: per exemple, valorar si és estrictament necessari habilitar l'accés remot des de fora de casa, o si té sentit que l'app tingui permisos permanents per a la càmera o el micròfon del mòbil quan no s'utilitzen funcions específiques.
Una altra pràctica prudent passa per controlar les zones de l'habitatge per les quals es mou el robot. Molts models permeten establir àrees restringides o murs virtuals. Evitar que l'aspirador entri en habitacions especialment sensibles -com ara despatxos amb documentació, habitacions infantils o zones on es manipula informació privada- pot reduir l'impacte d'un possible incident.
Finalment, resulta útil mantenir-ne una visió crítica sobre els dispositius connectats que s'incorporen a la llar: comprovar l'historial de seguretat del fabricant, cercar si ja ha tingut problemes previs, revisar quin tipus de dades recull i com les emmagatzema, i no donar per fet que pel sol fet de ser un producte popular és automàticament segur.
El cas dels DJI ROM ha deixat clar que fins i tot una marca amb experiència tecnològica i àmplia presència internacional pot passar per alt una fallada de validació de permisos amb conseqüències potencialment greus. La digitalització de la llar porta comoditat i automatització, però també obliga a assumir que cada aparell connectat és un possible punt feble si alguna cosa es fa malament en el disseny o el manteniment.
Amb la vulnerabilitat ja corregida però amb noves investigacions en marxa, l'episodi serveix com a toc d'atenció tant per a fabricants com per a usuaris: la seguretat d'un robot aspirador no es mesura només per com n'és de neteja, sinó perquè protegeix el que veu, sent i aprèn de la casa on treballa.
