Danny Weber
La auditoría independiente de OnDefend a los DJI Air 3S y Matrice 4E no halló problemas críticos, solo 10 de bajo riesgo ya en solución. DJI enfrenta restricciones en EE.UU.
DJI ha publicado los resultados de una auditoría de seguridad independiente realizada por la empresa estadounidense OnDefend. Durante cinco meses, los especialistas analizaron el dron de consumo DJI Air 3S y el modelo empresarial Matrice 4E, sin encontrar problemas críticos, altos o de riesgo medio. La auditoría tampoco descubrió puertas traseras ocultas, malware, transmisión de datos fuera de Estados Unidos ni intentos de piratería exitosos.
La auditoría se produce en medio del conflicto continuo de DJI con los reguladores estadounidenses. La empresa impugna una decisión de la FCC que bloquea de facto la certificación de nuevos drones extranjeros para el mercado estadounidense. DJI afirma que podría perder alrededor de 1.560 millones de dólares anuales debido a estas restricciones, y que algunos productos planificados quizás nunca lleguen al mercado estadounidense.
OnDefend examinó los drones en varias áreas: software, firmware, hardware y canales de radiofrecuencia. El equipo realizó simulaciones de ataques de intermediario, desmontaje físico de los dispositivos y análisis de componentes. Cabe destacar que la empresa compró las unidades de prueba de forma independiente: el Air 3S en una tienda minorista y el Matrice 4E en el inventario de un distribuidor, sin que DJI interviniera en la selección de los dispositivos concretos.
Sin embargo, la auditoría no fue del todo limpia. Los expertos encontraron 10 problemas de bajo riesgo, entre ellos protocolos TLS débiles en la aplicación complementaria y tokens de autenticación en las URL. OnDefend describió estos problemas como típicos en sistemas embebidos complejos, y DJI aseguró que los está solucionando mediante actualizaciones de firmware. Los auditores subrayaron que la revisión solo refleja el estado de estos dos modelos en un momento concreto y no sustituye las pruebas continuas de futuras actualizaciones.
La elección de OnDefend también es significativa. La misma firma fue designada anteriormente como uno de los inspectores de seguridad independientes de TikTok en Estados Unidos. Así, ahora ha auditado a dos empresas tecnológicas chinas bajo presión de las autoridades estadounidenses por preocupaciones de seguridad nacional. No obstante, la auditoría de DJI fue encargada y pagada por la propia compañía, lo que la diferencia de una revisión completa bajo supervisión federal.
Para DJI, los resultados de la auditoría ofrecen un argumento contra las restricciones, pero es poco probable que resuelvan por completo las cuestiones políticas y regulatorias. La empresa ya ha argumentado ante los tribunales que las acciones de la FCC violan la Constitución de Estados Unidos. En documentos presentados en abril, informó de la revocación de permisos para 14 productos existentes y la imposibilidad de lanzar 25 dispositivos planificados. En este contexto, las exportaciones de drones civiles de China a Estados Unidos ya han caído entre un 60 y un 70% interanual desde diciembre, según Nikkei Asia.
© A. Krivonosov