Tu aspiradora robot no es un electrodoméstico. Es una computadora con ruedas, cámara de alta resolución, sensor LiDAR, micrófono y conexión permanente a la nube. Y como toda computadora, puede ser hackeada.
Eso es exactamente lo que demostró Sammy Azdoufal, investigador de Romo Security, con los robots aspiradores de DJI —sí, el mismo DJI de los drones—. Lo que encontró fue suficientemente grave como para que DJI activara su programa de Bug Bounty y pagara una recompensa que ya está siendo descripta como la más alta en la historia de la compañía para seguridad de hardware.
¿Cómo funciona el “Romo Hack”?
El vector de ataque no es el software de usuario ni la app de DJI. Azdoufal encontró la vulnerabilidad en la interfaz de comunicación entre el procesador de imagen del robot y el módulo Wi-Fi. Una brecha a nivel de hardware que permitía saltarse los protocolos de cifrado de la aplicación oficial y acceder directamente al flujo de video en tiempo real.
Lo que eso significa en términos prácticos es perturbador: desde afuera de tu red, un atacante podía ver en tiempo real lo que ve la cámara de tu aspiradora. No como un snapshot estático: como un live stream. Podía moverla. Mapear tu casa. Ver debajo de puertas. Capturar momentos privados desde ángulos que las cámaras de seguridad convencionales no cubren.
Pero hay más. El hack también permitía activar el altavoz y el micrófono del dispositivo. Lo que fue diseñado para que el dueño hablara con sus mascotas se convirtió en un micrófono espía capaz de transmitir conversaciones privadas a servidores externos. Sin alertas en la app. Sin notificaciones. Sin rastro visible para el usuario.
DJI pasó de la negación a la recompensa
La reacción inicial de DJI fue escéptica. La empresa es gigante en hardware de precisión —básicamente dueña del mercado global de drones de consumo— y aparentemente no creía que un investigador externo pudiera encontrar algo que sus equipos internos no hubieran visto.
Azdoufal respondió con una demostración técnica completa: mapeó una vivienda entera y extrajo los datos de navegación en tiempo real. DJI activó su Bug Bounty inmediatamente.
El pago fue condicionado a que Azdoufal no revelara el código del exploit antes de que DJI desplegara un parche masivo de firmware en marzo de 2026. La actualización de seguridad v4.2.0 cierra el puerto de acceso utilizado en el ataque. Si tenés un aspirador DJI con cámara, verificá que está conectado a la red oficial para recibirla.
El problema de fondo: el hardware de “conveniencia” con ojos
Este incidente reabre una pregunta que el mercado de IoT lleva años evitando responder: ¿realmente necesitamos cámaras en todos los dispositivos del hogar?
Para la navegación básica, el LiDAR es suficiente. Las cámaras RGB se justifican para identificar objetos específicos (cables, desechos de mascotas, obstáculos irregulares) y para las funciones de videovigilancia. El problema es que esa conveniencia tiene un costo de seguridad que los fabricantes suelen minimizar hasta que alguien lo demuestra con evidencia.
El caso DJI es el más reciente de una tendencia que incluye:
- Cámaras de seguridad domésticas que filtran footage a servidores externos sin consentimiento explícito del usuario.
- TVs inteligentes que capturan audio ambiente para “mejorar la experiencia”.
- Routers y dispositivos de red con firmware desactualizado que son comprometidos masivamente y usados como botnets.
La aspiradora es solo el último ejemplo de un patrón más amplio: el hogar conectado es una superficie de ataque que la mayoría de los usuarios no tiene forma de auditar.
Por qué importa
Hay dos lecciones de seguridad aquí, y ninguna de las dos es “evitá comprar aspiradoras robot”.
La primera es para los usuarios: cualquier dispositivo con cámara y conectividad en tu hogar tiene potencial de ser comprometido. Actualizar firmware no es opcional. Revisar permisos de red tampoco. Y si un dispositivo tiene funciones de cámara que no usás, vale la pena evaluar si desactivarlas reduce tu superficie de exposición.
La segunda es para los fabricantes y founders que construyen hardware conectado: la capa de software que gestiona los sensores físicos es tan crítica como el hardware mismo. Un Bug Bounty activo y visible no es solo buena práctica ética —es un mecanismo real de defensa. DJI tardó en escuchar, pero eventualmente reaccionó correctamente. Hay decenas de empresas de hardware de consumo que ni siquiera tienen un programa de reporte responsable.
La recompensa histórica que pagó DJI es una victoria para la comunidad de seguridad ofensiva que reporta vulnerabilidades responsablemente. Pero también es un recordatorio de que la seguridad del IoT en 2026 todavía se gestiona principalmente reaccionando a problemas, no anticipándolos.
Tu casa limpia no debería costar tu privacidad.
