Incidentes Asociados
El esfuerzo de un ingeniero de software por controlar su nueva aspiradora robot DJI (https://www.popsci.com/story/reviews/best-robot-vacuum/) con un mando de videojuego le permitió, sin darse cuenta, echar un vistazo a miles de hogares.
Al desarrollar su propia aplicación de control remoto, Sammy Azdoufal utilizó un asistente de programación de IA para aplicar ingeniería inversa a la comunicación del robot con los servidores remotos en la nube de DJI. Pero pronto descubrió que las mismas credenciales que le permitían ver y controlar su propio dispositivo también le daban acceso a las transmisiones en vivo de las cámaras, el audio del micrófono, mapas y datos de estado de casi 7000 aspiradoras más en 24 países. El fallo de seguridad expuso un ejército de robots conectados a internet que, en las manos equivocadas, podrían haberse convertido en herramientas de vigilancia, sin que sus dueños lo supieran.
Por suerte, Azdoufal decidió no aprovecharse de ello. En cambio, compartió sus hallazgos con The Verge, que contactó rápidamente con DJI para reportar la falla. Si bien DJI le informa a Popular Science que el problema se ha "resuelto", el dramático episodio subraya las advertencias de los expertos en ciberseguridad que llevan tiempo advirtiendo que los robots conectados a internet y otros dispositivos domésticos inteligentes presentan objetivos atractivos para los hackers.
A medida que más hogares adoptan robots domésticos (incluidos los modelos humanoides más nuevos e interactivos](https://www.popsci.com/technology/humanoid-robot-cartwheel/)), vulnerabilidades similares podrían volverse más difíciles de detectar. Las herramientas de programación basadas en IA, que facilitan que personas con menos conocimientos técnicos exploten las fallas de software, podrían agravar aún más estas preocupaciones.
Tropezando con una enorme vulnerabilidad de seguridad
El robot en cuestión es el DJI Romo, una aspiradora doméstica autónoma que se lanzó por primera vez en China el año pasado y actualmente se está expandiendo a otros países. Su precio de venta es de unos 2000 dólares y, cuando está conectado a su base, tiene aproximadamente el tamaño de un terrier grande o un refrigerador pequeño. Al igual que otras aspiradoras robot, está equipado con una serie de sensores que le ayudan a navegar por su entorno y detectar obstáculos. Los usuarios pueden programarlo y controlarlo mediante una aplicación, pero está diseñado para pasar la mayor parte del tiempo limpiando y fregando de forma autónoma.
Para que el Romo, o en realidad cualquier aspiradora autónoma moderna, funcione, necesita recopilar constantemente datos visuales del edificio en el que opera. También necesita comprender detalles específicos sobre qué diferencia, por ejemplo, una cocina de un dormitorio, para poder distinguir entre ambos. Algunos de esos datos de los sensores se almacenan remotamente en los servidores de DJI, en lugar de en el propio dispositivo. Para que la idea del controlador casero de Azdoufal funcionara, necesitaría una forma de que su aplicación se comunicara con los servidores de DJI y extrajera un token de seguridad que demostrara que él es el propietario del robot.
En lugar de verificar un solo token, los servidores otorgaron acceso a un pequeño ejército de robots, tratándolo básicamente como su respectivo propietario. Ese descuido le permitió a Azdoufal acceder a las imágenes de sus cámaras en tiempo real y activar sus micrófonos. También afirma que pudo compilar planos 2D de las casas en las que operaban los robots. Un vistazo rápido a las direcciones IP de los robots también reveló sus ubicaciones aproximadas. Nada de esto, insiste Azdoufal, equivale a "hackeo" por su parte. Simplemente se topó con un grave problema de seguridad. "DJI identificó una vulnerabilidad que afectaba a DJI Home mediante una revisión interna a finales de enero e inició la corrección de inmediato", declaró DJI a Popular Science. "El problema se solucionó mediante dos actualizaciones: un parche inicial implementado el 8 de febrero y una actualización de seguimiento completada el 10 de febrero. La solución se implementó automáticamente y no requiere ninguna acción por parte del usuario".
La compañía continuó indicando sus planes de "continuar implementando mejoras de seguridad adicionales", pero no especificó cuáles podrían implicar.
Los propietarios de viviendas están lidiando con el costo de la privacidad de los hogares inteligentes.
Las preocupaciones de seguridad de DJI surgen en un período de creciente inquietud general sobre las capacidades de vigilancia de la tecnología de hogares inteligentes. A principios de este mes, los propietarios de cámaras Ring inundaron las redes sociales después de que un anuncio controvertido de la función de búsqueda de mascotas de la compañía fuera interpretado por algunos como un caballo de Troya para un monitoreo más amplio. Casi al mismo tiempo, informes de que Google había logrado recuperar imágenes de video de una cámara Nest Doorbell para ayudar en la investigación de un secuestro (a pesar de indicios previos de que las imágenes habían sido eliminadas) reavivaron el debate sobre el verdadero control que tienen los consumidores sobre sus datos confidenciales.
Además, legisladores de ambos partidos políticos en EE. UU. llevan años advirtiendo que DJI y otros fabricantes tecnológicos chinos representan una amenaza única para la seguridad. Las pruebas que sustentan estas afirmaciones son confusas, pero aun así han ayudado a justificar la prohibición de ciertos productos fabricados en China (https://www.popularmechanics.com/technology/robots/a69937082/us-bans-new-foreign-made-drones/).
La ironía de muchas aspiradoras robot y otros dispositivos domésticos inteligentes es que, como categoría, tienen un largo historial de prácticas de seguridad cuestionables, a pesar de operar en algunos de nuestros espacios más privados. Todo apunta a que el ciudadano promedio pronto aceptará más cámaras y micrófonos en sus hogares, no menos. En 2020, la firma de investigación de mercado Parks Associates estima que 54 millones de hogares estadounidenses contaban con al menos un dispositivo doméstico inteligente instalado. Otras encuestas muestran que quienes ya tienen uno suelen querer más.
Los tipos específicos de dispositivos que entran en los hogares también se están volviendo más sofisticados. Aunque todavía es una etapa temprana, Tesla, Figure y otras compañías se apresuran a construir robots autónomos con apariencia humana que puedan vivir en una casa y realizar tareas domésticas. Una compañía llamada 1X ya está vendiendo uno de estos humanoides, afirmando que puede lavar platos y romper nueces---aunque a menudo con algo de ayuda de un humano. Sin embargo, para que estos sirvientes robot domésticos funcionen eficazmente, necesitarán un acceso sin precedentes a los detalles íntimos de las casas de sus dueños. Para un acosador o hacker, eso representa una mina de oro en potencia.
Fiel a su palabra, Azdoufal se vio envuelto en este lío, aunque lo único que quería hacer era conducir su robot con un joystick. En ese sentido, misión cumplida.