Todo comenzó con un impulso puramente geek. Un usuario, cansado de las interfaces convencionales, decidió que gastar 2,000 dólares en un robot aspirador de última generación de DJI no era suficiente; también quería conducirlo con un mando de Xbox. Lo que empezó como un proyecto de fin de semana para evitar usar la aplicación oficial «como un plebeyo», terminó destapando una de las vulnerabilidades de privacidad más absurdas de los últimos años.
De la Curiosidad al Espionaje Global
Sammy Azdoufal, el protagonista de esta historia, recurrió a Claude (IA) para desentrañar la API de DJI y poder mapear los controles del joystick al movimiento del robot. El plan era sencillo: obtener un token de autenticación, saltarse la app oficial y tener el control total de su juguete caro.
Sin embargo, al conectar con los servidores de DJI, la respuesta del sistema no fue un simple «Conectado a 1 dispositivo». El panel mostraba algo imposible: tenía acceso a 7,000 aspiradoras.
Una Puerta Abierta en 24 Países
Tras una doble verificación, la realidad golpeó con fuerza: DJI había diseñado un sistema de autenticación con cero verificación de propiedad. En términos simples:
-
Cualquier token válido servía para acceder a cualquier unidad del planeta.
-
Sammy tenía, de repente, «ojos» en hogares de 24 países.
-
Podía acceder a transmisiones de video en vivo, planos detallados de las casas y datos de mapeo precisos.
La magnitud del fallo era tal que Sammy podía observar a un hombre en Alemania desayunando cereales a las 3 de la mañana, totalmente ajeno a que su aspiradora se había convertido en un informante silencioso. Básicamente, estaba a una llamada de API de convertirse en el ladrón más informado de la historia.
El Desenlace: Responsabilidad vs. Caos
A diferencia de un actor malicioso, Azdoufal eligió el camino de la divulgación responsable. Reportó el fallo crítico inmediatamente. Sorprendentemente, y quizás conscientes del desastre de relaciones públicas que se avecinaba, DJI logró parchear la vulnerabilidad en apenas 48 horas.
Nota: Este incidente subraya una verdad incómoda en la tecnología actual: las empresas de hardware suelen ser expertas en ingeniería física, pero «invictas» a la hora de lanzar software con una seguridad deficiente.
Lecciones de una Aspiradora de $2,000
Hoy, Sammy ha vuelto a su vida normal, limpiando sus suelos con un dispositivo ridículamente caro. Pero la lección queda para el resto: cuando compras un dispositivo conectado, no solo estás metiendo un asistente de limpieza en tu casa, estás metiendo una cámara y un micrófono que, si el desarrollador tiene un mal día, podrían estar enviando contenido en directo a cualquier persona con un mando de Xbox y un poco de curiosidad.