La compañía de drones y cámaras creativas DJI se adentró en el mundo de la limpieza doméstica en octubre del año pasado con el lanzamiento de su primera serie de robots aspiradores DJI ROMO. Estos dispositivos combinan sensores avanzados, inteligencia artificial, un sistema de autolimpieza y detección de obstáculos para ofrecer una experiencia de limpieza completa. Sin embargo, pese a que cuentan con aprendizaje automático y controles de privacidad, los robots aspiradores de DJI estuvieron en el foco de la privacidad a mediados de febrero.
Un desarrollador demostró que podía acceder de forma remota a millas de dispositivos porque existía una vulnerabilidad en el backend Inicio DJIque estaba relacionada con la validación de permisos en la comunicación mediante el protocolo MQTT. Por lo tanto, esto significa que el servidor del aspirador no verificaba que ese permiso correspondiera solo a su propio dispositivo, por lo era posible enviar órdenes remotas y acceder a información en tiempo real —como el vídeo en directo, audio, mapas de las viviendas, número de serie, estado de limpieza o nivel de batería—.
Pese a que se demostró que no hubo pruebas de un uso malicioso generalizadose puso en jaque el sistema de privacidad de DJI porque se podía acceder de forma remota a varios robots aspiradores. Pero ahora, un mes después de este incidente que quedó resuelto por una actualización en el sistema, DJI recompensará con 30.000 dólares (casi 26.000 euros al cambio, aproximadamente) al desarrollador que identificó este fallo.
DJI recompensará al desarrollador que identificó el fallo
El desarrollador de software Sammy Azdoufal, residente en Barcelona, descubrió por accidente la vulnerabilidad mientras intentaba controlar su robot aspirador de DJI con un mando de la PlayStation 5. Para ello, creó una aplicación y analizó cómo su dispositivo se comunicaba con los servidores del fabricante, sin embargo, al probarla se dio cuenta que no solo respondía su propio dispositivo, sino millas de robots repartidos por todo el mundo.
Como hemos mencionado, el fallo permitiría acceder a millas de robots aspiradores en más de 20 paísesver datos que se enviaban a la nube y acceder a las cámaras integradas. Pero a diferencia de los ciberdelincuentes que hubieran aprovechado estos accesos para espiar a los usuarios, Azdoufal informó a DJI de la vulnerabilidad para que pudiese parchearla.
Ahora, a raíz de la información compartida por el diario El borde, todo apunta a que DJI pagará a Azdoufal 30.000 dólares (casi 26.000 euros al cambio, aproximadamente)a pesar de que la compañía solo ha dado a conocer al medio que ha “recompensado” a un investigador de seguridad anónimo por su trabajo, sin especificar tampoco el motivo por el que le está pagando.
La respuesta de DJI
Este caso ha reabierto el debate sobre los riesgos de seguridad y privacidad de los dispositivos domésticos conectados a internet, sin embargo, DJI afirma en su blog oficial que implementó actualizaciones para “resolver el problema por completo, sin necesidad de intervención del usuario”.
Por otro lado, el fabricante afirma que su “enfoque de seguridad seguirá alineándose con los estándares existentes de la industria y se basará en ellos”, continuará “desempeñando un papel fundamental en el marco de seguridad” y someterá sus productos a “auditorías y certificaciones de seguridad independientes”.
