Intentaba crear una app para controlar su aspiradora con el mando de la PS5 y acabó controlando 7.000 aspiradoras inteligentes

En una época en la que todos, o la gran mayoría, de nuestros dispositivos, electrodomésticos y resto de aparatos que nos acompañan son susceptibles de estar conectados da vértigo leer lo que le ocurrió al protagonista de nuestra siguiente historia que de 'golpe y porrazo' descubrió que su aspirador "era solo uno más en un océano de dispositivos".

Azdoufal asegura que él solo trataba de controlar de forma remota su aspirador cuando sin saber cómo acabó controlando todos los aspiradores robot del mundo. En una entrevista en The Verge explica que estaba familiarizándose con su nueva DJI Romo con un mando de PlayStation 5. Su objetivo era desarrollar una app para controlar su DJI Romo con el mando de la PS5, pero entonces fue consciente de que sus credenciales no solo le abrían los candados de su dispositivo sino también de todos los servidores que DJI tiene repartidos por el mundo. Aproximadamente 7000 aspiradoras comenzaron a tratar a Azdoufal como a un jefe.

Su poder se hizo inmenso. Era capaz de ver y escuchar las transmisiones en vivo de sus cámaras, comprobar cómo se mapeaba cada habitación y no solo eso, gracias a la dirección IP de estos electrodomésticos conseguía la ubicación exacta de cada uno de ellos.

Llegó a controlar toda la información de 6.700 dispositivos DJI en 24 países diferentes. Además las estaciones de carga también se conectan a los mismos servidores por lo que Azdoufal entre ambos aparatos tenía acceso a más de 10.000 unidades.

Defiende que su intención nunca fue la de hackear dichos aparatos, pero es inevitable plantearse la gran brecha de seguridad a la que estamos expuestos en nuestras propias casas. Azdoufal dirige la estrategia de IA en una empresa de alquileres vacacionales. Asegura: "No infringí ninguna norma, no me salté ninguna norma, no usé fuerza bruta, ni nada". Lo único que dice haber hecho es extraer el token privado de su DJI Romo y que esos servidores también le proporcionaron los datos de miles de personas.

En cuestión de días Azdoufal ya no tenía acceso a ningún robot, parece que DJI había solucionado el problema. Cuando The Verge y Azdoufal contactaron con la compañía aseguró que la vulnerabilidad se había resuelto aunque luego se supo que solo lo estaba de forma parcial. En principio dicho fallo se debía a un problema de permisos en el backend, el servidor no restringía la respuesta a un dispositivo concreto y devolvía datos de múltiples unidades.

Quienes conectan sus dispositivos dan por hecho unos mínimos de seguridad, pero ahora es inevitable plantearse preguntas como si es necesario que un aspirador tenga micro o quién nos garantiza entonces que los empleados de la compañía no tengan mapas al dedillo de nuestra casa.

La Comisión Europea investiga a la red social X por generar imágenes sexuales deepfake sin consentimiento