Un ingeniero descubre por accidente en Barcelona que podía ver y escuchar a través de 7.000 robots aspiradores en todo el mundo: "¿A quién demonios se le ocurrió ponerle un micrófono a una aspiradora?"
El fallo afectaba a robots de DJI y permitía acceder a cámaras, micrófonos y mapas del hogar.
Lo que empezó como un experimento casero acabó destapando un problema global de ciberseguridad. Sammy Azdoufal, ingeniero de software francés afincado en Barcelona, descubrió por accidente que podía acceder a casi 7.000 robots aspiradores repartidos por más de 20 países. Y no solo eso: podía ver a través de sus cámaras, activar sus micrófonos y reconstruir mapas detallados de las viviendas donde operaban.
Cómo no, ahí entraba la inteligencia artificial (IA). El ingeniero usó herramientas como Claude Code (Anthropic) para analizar el sistema. La historia, publicada inicialmente por The y del que se hizo eco El Confiencial, ha reabierto el debate sobre la seguridad del hogar conectado.
Todo empezó con un mando de PlayStation
Azdoufal no pretendía hackear nada. Su objetivo era más bien friki: controlar su modelo Romo, una aspiradora del fabricante chino DJI, con el mando de su PlayStation 5, como si fuese un coche teledirigido. Hay gente para todo.
Con experiencia previa en ingeniería inversa y ciberseguridad —ya había desbloqueado una bicicleta eléctrica Super73 y desarrollado una app propia— decidió analizar cómo el robot se comunicaba con los servidores de la compañía.
Para ello utilizó Anthropic y su agente Claude Mode, un modelo de IA diseñado para asistir en tareas de programación y análisis técnico. Al principio, todo iba según lo previsto. Logró manejar la aspiradora con el joystick y consultar el estado de la batería. Pero cuando pidió información de su dispositivo, recibió miles de respuestas simultáneas.
De un robot a 7.000.
El problema estaba en el backend. Para autenticarse con el robot, se necesita un token privado, una especie de credencial digital que debería permitir que cada usuario acceda solo a su propio dispositivo.
Sin embargo, los servidores tenían un fallo en la validación de permisos. En lugar de limitar el acceso, permitían suscribirse a canales globales mediante el protocolo MQTT.
El resultado es que cualquier usuario autenticado podía recibir datos de miles de robots. Desde su ordenador, Azdoufal podía:
- Ver transmisiones de cámaras.
- Activar micrófonos.
- Consultar estado de limpieza y batería.
- Dibujar mapas en 2D de viviendas.
- Localizar un robot concreto con su número de serie.
La conexión estaba cifrada con TLS mientras viajaba por internet, pero una vez dentro del servidor, los datos quedaban accesibles.
Cada robot enviaba datos cada pocos segundos a los servidores centrales. Si la arquitectura de permisos falla, la privacidad doméstica queda comprometida. "En el momento en que tu dispositivo IoT se comunica con un servicio en la nube externo, ya has perdido una capa de control", señaló.
No lo explotó y DJI respondió
Azdoufal asegura que no explotó la vulnerabilidad. Intentó contactar con la compañía por correo electrónico, sin respuesta. Después publicó mensajes en X. Entonces la empresa reaccionó.
Según explicó DJI a medios como Popular Science, el problema estaba en la validación de permisos del backend y fue corregido mediante actualizaciones automáticas. El acceso masivo quedó bloqueado el fin de semana siguiente.
"¿A quién se le ocurrió ponerle un micrófono a una aspiradora?"
Más allá del fallo técnico está la pregunta del millón, la reflexión del ingeniero que apunta al diseño del producto. "¿A quién demonios se le ocurrió que era una buena idea ponerle un micrófono a una aspiradora?", se pregunta.
Estamos hablando de un dispositivo que circula por dormitorios, baños y espacios íntimos. Las cámaras y micrófonos pueden ser útiles para el control por voz o vigilancia doméstica, pero también amplían la superficie de riesgo.
La IA y la nueva ingeniería inversa
El caso también abre otro debate: la facilidad con la que herramientas de IA permiten analizar sistemas complejos y a través de personas que no tienen ni idea de ingeniería o electrónica. La última barrera derribada. "Hoy es más fácil saltarse la seguridad utilizando LLMs de lo que era antes", explica Azdoufal.
Modelos como Claude Code pueden:
- Leer documentación masiva.
- Analizar protocolos.
- Detectar patrones.
- Señalar posibles puntos débiles.
Eso no crea la vulnerabilidad, pero sí reduce la barrera para encontrarla.
El dilema del hogar inteligente
La historia no es solo sobre un robot aspirador. Es sobre la arquitectura de confianza del IoT. Cuando compras un dispositivo de 1.500 o 2.000 euros, esperas comodidad. No esperas que pueda convertirse, por error, en un ojo y un oído remoto.
El caso demuestra que la línea entre innovación y vulnerabilidad es fina. Y que en el hogar conectado, la seguridad depende menos del hardware y más de decisiones invisibles de software.