DJI pagó 30 mil dólares a la persona que accidentalmente hackeó 7 000 robots aspiradores Romo

Crónica breve: vulnerabilidades de DJI Romo y la reacción del fabricante

Etapa¿Qué ocurrió? La compañía reaccionó
Febrero – descubrimiento de problemas
Los propietarios de los robots aspiradores DJI Romo encontraron varias fallas críticas. Un usuario, intentando controlar el dispositivo mediante un gamepad Sony PlayStation, notó una red de 7000 robots remotos que abrían acceso a las transmisiones en vivo de casas ajenas.
DJI anunció la intención de pagar una recompensa por la detección de la vulnerabilidad.
Reconocimiento público
En un comunicado de The Verge se indica que el usuario llamado *Sammy Azdoufal* recibió 30 000 USD. Sin embargo, la compañía no reveló los detalles específicos del error ni mencionó su nombre en documentos oficiales.
DJI enfatizó que la vulnerabilidad permitía ver la transmisión sin introducir el PIN; la corrección se implementó a finales de febrero.
Se encontró un problema más serio
Una de las fallas detectadas resultó potencialmente más peligrosa, pero sus detalles no fueron divulgados por los medios. En su blog oficial, la empresa anunció planes de “modernizar todo el sistema” y lanzó una serie de actualizaciones que deben desplegarse completamente en un mes.
Agradecimiento a los investigadores
DJI señaló que los problemas fueron identificados internamente, pero expresó agradecimiento a dos especialistas independientes en seguridad por su contribución. La compañía enfatizó su compromiso con la colaboración con la comunidad investigadora y prometió presentar nuevas vías de cooperación próximamente.
Certificados y dudas sobre fiabilidad
DJI recordó que Romo cuenta con certificados ETSI, UE y UL. Sin embargo, una persona logró eludir el sistema de seguridad mediante el servicio Claude Code, lo que plantea dudas sobre la efectividad real de dichos certificados. En su declaración, la empresa subrayó su “compromiso de profundizar la colaboración con la comunidad investigadora en materia de seguridad”.

Conclusiones:

DJI pagó 30 000 USD al usuario que descubrió una vulnerabilidad en la transmisión de Romo. Al mismo tiempo, la compañía inició un trabajo masivo para actualizar y reforzar la protección de sus robots aspiradores, reconociendo la necesidad de una colaboración más estrecha con investigadores independientes de seguridad. A pesar de contar con certificados ETSI, UE y UL, el hecho de haber penetrado en una red de 7000 dispositivos plantea preguntas sobre la verdadera fiabilidad de las medidas de protección implementadas.