Jose Antonio Carmona
Editor SeniorHace poco vimos cómo Google había conseguido recuperar un vídeo que, en teoría, no debía existir: un ejemplo de que nuestra privacidad quizá no lo es tanto. Y, en este sentido, un usuario ha vivido una experiencia que vuelve a ponernos sobre la mesa el mismo tema: ¿la información que guardamos en la nube es realmente privada?
Todo ocurre por casualidad, pero las consecuencias no son ninguna broma. Un usuario estaba intentando controlar su robot aspirador, un DJI ROMO, con el mando de una PlayStation 5. Lo llamativo es que, por accidente, llegó a controlar más de 6.500 dispositivos en todo el mundo.
Un hackeo involuntario
Foto de Sora Shimazaki
Tener una casa conectada no es solo comodidad: también exige medidas de seguridad para mantener todos esos aparatos bien protegidos. Algunas dependen de nosotros, pero otras son responsabilidad de las marcas. Y aunque tendemos a confiar en que nuestros datos en la nube están a salvo, quizá estamos demasiado equivocados: un reciente incidente con el robot DJI ROMO ha demostrado lo fina que puede ser esa línea de seguridad.
La historia la protragoniza Sammy Azdoufal, un experto en inteligencia artificial que pensó que sería divertido controlar su propio aspirador usando un mando de PlayStation 5. Para conseguirlo, se apoyó en una herramienta de IA Claude Code para estudiar cómo se comunicaba su robot con los servidores de la marca y creó una pequeña aplicación casera. Según su versión, el fallo estuvo en que, una vez autenticado, los servidores no restringieron bien a qué mensajes podía suscribirse.
El problema surgió cuando comenzó a experimentar. Azdoufal logró extraer la credencial de acceso única de su aparato para "iniciar sesión" en el sistema. Sin embargo, se encontró con una enorme puerta abierta: los servidores no restringían lo que podía ver. En lugar de comunicarse solo con su aspirador, el sistema le permitió asomarse a la actividad de miles de usuarios en todo el mundo.
En una demostración en directo, los resultados fueron sorprendentes por un fallo en el protocolo. En menos de diez minutos, su programa logró detectar casi 7.000 robots operativos repartidos en 24 países y eso no es lo peor. Logro "ver" más de 100.000 mensajes de estado en tiempo real o acceder a datos concretos como los números de serie, qué habitaciones exactas se estaban limpiando, la distancia recorrida o cuándo volvían a su base.
Debido a la gravedad del problema, la marca DJI, que quizás te suene por sus drones o cámaras de acción, no tuvo más remedio que salir a dar explicaciones.
Según la versión oficial de la compañía detectaron este fallo de permisos en sus servidores a finales de enero mediante sus propias auditorías y desplegaron varias actualizaciones de seguridad urgentes durante la primera quincena de febrero para solucionar el problema. Además, aseguran que los datos siempre viajaron de forma encriptada y que las intrusiones de este tipo fueron algo excepcionalmente raro.
¿Quién vigila nuestra privacidad?
Más allá de que la vulnerabilidad ya esté parcheada, el incidente deja una reflexión importante sobre la mesa. No estamos hablando de una tostadora, sino de máquinas que patrullan nuestra casa equipadas con sensores de proximidad, radares láser e incluso, en algunos modelos, micrófonos y cámaras.
Si un aficionado descubrió una fuga masiva de datos casi por accidente mientras trasteaba con un mando de videojuegos, es inevitable preguntarse: ¿están las marcas poniendo a prueba la seguridad de sus servidores con la misma dedicación con la que diseñan las funciones de limpieza?
Vía | The Verge
Ver 0 comentarios