En 2026, el robot aspirador ya no es solo una escoba con motor; es un complejo sistema de hardware equipado con cámaras de alta resolución, sensores LiDAR y micrófonos, todo conectado a la nube.
El investigador Sammy Azdoufal, bajo la firma Romo Security, ha logrado lo que muchos temían: tomar el control total del hardware de navegación de una unidad DJI para convertirla en un dispositivo de espionaje remoto sin que el usuario reciba ninguna alerta en su smartphone.
Lee también: El escudo dinámico de Chrome: Google implementa la “Navegación segura en tiempo real” para frenar el cibercrimen
¿Cómo se ejecutó el “Romo Hack”?
A diferencia de los ataques de software tradicionales, Azdoufal encontró una vulnerabilidad en la interfaz de comunicación entre el procesador de imagen del robot y el módulo Wi-Fi.
La brecha permitía a un atacante externo saltarse los protocolos de cifrado de la aplicación oficial y acceder directamente al flujo de video en tiempo real. En el contexto de un hogar en 2026, esto significa que un extraño podría “patrullar” tu casa utilizando las ruedas del robot, viendo debajo de puertas o capturando momentos privados desde un ángulo que los sistemas de seguridad convencionales no cubren.
El hackeo también permitía activar el altavoz y el micrófono del dispositivo. Lo que fue diseñado para que el dueño hablara con sus mascotas o escuchara el estado del motor, fue transformado por Romo Security en un micrófono espía de alta sensibilidad capaz de transmitir conversaciones privadas a servidores externos.
La reacción de DJI: De la negación a la recompensa
DJI, gigante del hardware de drones que recientemente entró con fuerza en el mercado de la domótica, inicialmente se mostró escéptica ante el hallazgo. Sin embargo, tras la demostración técnica de Azdoufal —donde logró “mapear” una vivienda completa y extraer los datos de navegación—, la empresa activó su programa de Bug Bounty.
El pago realizado a Azdoufal no es solo por el hallazgo, sino por el compromiso de no revelar el código del exploit antes de que DJI despliegue un parche masivo de firmware este marzo de 2026. Este incidente marca un precedente: incluso las marcas líderes en hardware de precisión son vulnerables si no blindan la capa de software que gestiona los sensores físicos.
El dilema del hardware con ojos
Este incidente reaviva el debate sobre la privacidad en la era del IoT (Internet de las Cosas).
¿Realmente necesitamos cámaras en dispositivos de limpieza? Mientras que el LiDAR es suficiente para navegar, las cámaras RGB se usan para identificar objetos (como cables o desechos de mascotas). El “Romo Hack” demuestra que esa conveniencia tiene un costo de seguridad altísimo.
DJI ha instado, a través de un comunicado de DJI Security Response Center, a todos los usuarios de sus robots aspiradores a verificar que sus dispositivos estén conectados a la red oficial para recibir la actualización de seguridad v4.2.0, la cual cierra el puerto de acceso utilizado por Azdoufal.
La lección para el usuario
Este hackeo es una llamada de atención. Tu aspiradora es una computadora con ruedas. Si el fabricante no garantiza un hardware con enclaves de seguridad para el procesamiento de video, cualquier dispositivo con cámara en tu casa es una ventana potencial para terceros. La recompensa pagada por DJI es una victoria para la comunidad de “hackers éticos”, pero una derrota para la sensación de seguridad en el hogar.
Blindar la casa desde el suelo
El caso DJI vs. Romo Security nos recuerda que el hardware más inofensivo puede ser el más peligroso. Este 2026, la limpieza de tu hogar no debe comprometer la limpieza de tu privacidad.
Si tienes un robot aspirador con cámara, hoy es el día para revisar los permisos y actualizar el software.