DJI publicó los resultados de una evaluación independiente de seguridad encargada a OnDefend, una firma estadounidense de ciberseguridad, para revisar dos sistemas de drones distribuidos en el mercado de Estados Unidos. La auditoría examinó el DJI Air 3S con control RC 2 y aplicación DJI Fly, junto con el DJI Matrice 4E con control RC Plus 2 Enterprise y aplicación DJI Pilot 2.
DJI encargó la evaluación por la presión regulatoria en Estados Unidos
La evaluación se enmarca en el proceso abierto por la Sección 1709 de la National Defense Authorization Act de 2025, que ordenó una revisión de seguridad sobre equipos de DJI. En una carta enviada a Kristi Noem, secretaria del Departamento de Seguridad Nacional de Estados Unidos, la compañía pidió iniciar la auditoría antes del plazo del 23 de diciembre de 2025 para evitar la incorporación automática de sus productos a la FCC Covered List.
A pesar de esa solicitud, DJI fue incluida en la FCC Covered List en diciembre de 2025, según la compañía, sin que se documentara una vulnerabilidad específica. La auditoría publicada en mayo de 2026 aparece ahora como parte de la apelación de DJI ante la FCC, con el objetivo de sostener su defensa con evidencia técnica.
Como parte de los antecedentes presentados ante el DHS, DJI incluyó varios argumentos sobre el impacto operativo y económico de sus productos en Estados Unidos:
- Según la empresa, el 43 % de los usuarios comerciales de drones considera que una restricción a los productos DJI tendría un impacto extremadamente negativo o podría poner fin a sus negocios.
- Más del 80 % de las más de 1.800 agencias estatales y locales de seguridad pública y respuesta a emergencias que operan drones utilizan tecnología DJI.
- El ecosistema de la compañía respalda más de 450.000 empleos en Estados Unidos.
- DJI atribuye a sus operaciones más de US$ 116.000 millones en actividad económica en el país.
OnDefend revisó drones de DJI compradas en el mercado estadounidense
OnDefend es una firma estadounidense de ciberseguridad enfocada en pruebas adversarias, seguridad de tecnologías y revisión de cadenas de suministro. Su equipo de seguridad ofensiva incluye profesionales del ámbito militar y gubernamental de Estados Unidos con experiencia operativa, según el resumen ejecutivo de la evaluación.
La auditoría cubrió dos sistemas específicos:
- DJI Air 3S, un dron de consumo equipado con control RC 2 y la aplicación DJI Fly.
- DJI Matrice 4E, un dron empresarial equipado con control RC Plus 2 Enterprise y la aplicación DJI Pilot 2.
OnDefend probó dos unidades de cada modelo durante una ventana de trabajo que se extendió entre el 21 de octubre de 2025 y el 13 de marzo de 2026.
Las unidades de consumo fueron compradas directamente en tiendas sin aviso previo a DJI; por su parte, los drones empresariales fueron tomados desde inventario existente de distribuidores, con el objetivo de evaluar equipos representativos de la distribución estándar del mercado estadounidense.
OnDefend la dividió en pruebas estándar y pruebas avanzadas, con análisis de aplicaciones, tráfico de red, hardware, firmware, cadena de suministro, radiofrecuencia, validación de placas y tecnologías propietarias para detectar transmisiones no autorizadas o modificaciones de hardware no documentadas.
Las pruebas avanzadas incorporaron análisis a nivel de silicio e imágenes asistidas por IA para revisar componentes, posibles rutas ocultas de transmisión, piezas falsificadas y cambios no declarados en el hardware. Ese enfoque buscó comprobar no solo lo que el sistema declaraba por software, sino también su comportamiento físico en placas, chips, firmware y señales de radiofrecuencia.
Las pruebas cubrieron software, hardware, firmware y radiofrecuencia sobre los productos de DJI
OnDefend dividió la evaluación en dos categorías:
Pruebas estándar
- Seguridad de aplicaciones.
- Análisis de tráfico de red.
- Revisión de hardware.
- Evaluación de firmware.
- Verificación de cadena de suministro.
Pruebas avanzadas
- Uso de tecnologías propietarias para validar componentes y comportamiento del sistema.
- Detección de transmisiones no autorizadas.
- Identificación de modificaciones de hardware no documentadas.
- Análisis de riesgos físicos que no pueden detectarse mediante una revisión exclusivamente de software.
Pruebas en Software
En software, la firma analizó las aplicaciones DJI Fly y DJI Pilot 2 mediante pruebas estáticas y dinámicas. También revisó el tráfico de red en operación normal y en Local Data Mode, ejecutó ataques de intermediario, pruebas de evasión de certificados, intentos de escalamiento de privilegios, jailbreak, downgrade, explotación de puertos y modificación de firmware.
Los resultados de esa capa fueron favorables para los sistemas evaluados:
- Los controladores resistieron todos los intentos de jailbreak y modificación de firmware.
- Local Data Mode evitó que la aplicación de control de vuelo enviara datos del usuario a ubicaciones en internet.
- El análisis de red no encontró evidencia de transmisión de datos fuera de Estados Unidos.
- Las conexiones observadas se resolvieron en infraestructura alojada en Estados Unidos.
- No hubo vulnerabilidades críticas, altas ni medias.
- El informe registró 10 hallazgos de bajo riesgo y 13 observaciones, principalmente asociadas a configuraciones de aplicación, sesiones y endurecimiento inalámbrico.
Hardware, radiofrecuencia y cadena de suministro
En hardware y radiofrecuencia, OnDefend desmontó los equipos, revisó placas y componentes, y escaneó el espectro entre 1 MHz y 6 GHz. La firma también ejecutó pruebas de repetición, interferencia, jamming e inyección para evaluar si las señales podían usarse como vía de manipulación del dron.
El protocolo O4 resistió los intentos de repetición, inyección y bloqueo, y el informe tampoco identificó emisiones de radio inexplicables ni canales ocultos. Las señales observadas fueron asociadas a funciones documentadas del sistema o a artefactos normales de generación de señal.
La revisión de cadena de suministro comparó componentes de placas con el inventario esperado y contrastó unidades de consumo y empresariales para buscar inconsistencias. OnDefend no detectó falsificaciones, manipulación de la cadena de suministro ni modificaciones de hardware no autorizadas.
En las pruebas avanzadas, OnDefend incorporó análisis a nivel de silicio e imágenes impulsadas por IA para comparar componentes con historiales de producción y detectar anomalías. El informe cerró con una advertencia metodológica: la evaluación corresponde a un momento específico, por lo que recomendó pruebas continuas para futuras versiones de firmware, software y hardware.
La evaluación no reportó hallazgos críticos, altos ni medios
OnDefend reportó cero hallazgos críticos, altos o medios en los sistemas evaluados; sin embargo, el informe sí registró 10 hallazgos de bajo riesgo y 13 observaciones, descritos como resultados consistentes con las normas de la industria para sistemas móviles y embebidos complejos.
La firma indicó que esos puntos se relacionaron principalmente con configuraciones de seguridad de aplicaciones, manejo de sesiones y endurecimiento inalámbrico. Según el informe, ninguno presentó un riesgo realista para la operación segura del dron ni para una exposición generalizada de información confidencial. OnDefend resumió así la conclusión central de su evaluación sobre el Air 3S y el Matrice 4E.
“Durante la ventana de pruebas, la evaluación de OnDefend sobre los sistemas de drones Air 3S y Matrice 4E no identificó evidencia clara de puertas traseras ocultas, transmisiones de datos fuera de Estados Unidos ni vías viables para secuestro o uso como arma. No se observaron hallazgos críticos ni de alto riesgo. Para mantener garantías de seguridad nacional, se recomienda realizar pruebas continuas de firmware, actualizaciones de software y verificación de la integridad del hardware y los chips para una validación continua y permanente”.
DJI trabajó en correcciones durante la auditoría
DJI colaboró con OnDefend durante la evaluación para mitigar vulnerabilidades mientras el proceso seguía en curso. Uno de los casos corregidos fue una contraseña WiFi compartida por defecto, que la compañía parcheó mediante una actualización de firmware.
El informe también indica que DJI trabaja para resolver los elementos restantes de bajo riesgo en próximas versiones de software. Para OnDefend, los operadores pueden seguir usando los drones con controles compensatorios mientras se gestionan esos puntos como riesgo residual, una práctica alineada con referencias de NIST RMF, CISA e ISC2.
Soberanía de datos: El análisis de red no detectó envíos fuera de Estados Unidos
En soberanía de datos, OnDefend no encontró evidencia de transmisión fuera de Estados Unidos desde los controladores ni desde las aplicaciones de vuelo. Las conexiones observadas se resolvieron en direcciones IP ubicadas en ese país, incluidas infraestructuras de entrega de contenido asociadas a Alibaba y Tencent, además de servicios esperados como Google, Facebook, Mozilla y Amazon.
La recomendación de pruebas continuas responde al alcance temporal del informe. OnDefend advierte que una auditoría puntual no puede medir la seguridad futura de la plataforma, por lo que sugirió validar cada lanzamiento importante de software, con una frecuencia mensual o trimestral según el ciclo de actualización, y repetir pruebas en cada revisión de hardware o cadena de suministro.
Local Data Mode redujo el envío de datos, pero no aisló todo el control
La prueba específica sobre Local Data Mode confirmó que esta función evitó que los datos de usuario fueran enviados desde la aplicación de control de vuelo hacia ubicaciones en internet. OnDefend validó ese comportamiento al capturar y revisar tráfico del RC 2 con DJI Fly para el Air 3S, y del RC Plus 2 Enterprise con DJI Pilot 2 para el Matrice 4E, en operación estándar y con LDM activo durante fases de pre-vuelo, vuelo y post-vuelo.
El informe también indicó que, después de volver al modo normal, no se enviaron por internet datos relacionados con vuelos anteriores. Esa revisión se hizo con captura de paquetes, análisis de volumen, destino y contenido del tráfico, además de correlación con acciones específicas del usuario en el controlador.
El límite técnico está en el controlador
OnDefend señaló que Local Data Mode no aísla completamente el controlador, porque el sistema operativo y otras aplicaciones todavía pueden mantener conectividad. En su metodología, la firma comparó el tráfico observado con sistemas operativos móviles no modificados, incluido un dispositivo Android virtual de la misma versión principal, para distinguir si las conexiones venían de la aplicación evaluada o del sistema subyacente.
Para un aislamiento completo, OnDefend recomendó desactivar la conexión de red del controlador, además de activar Local Data Mode. La firma también pidió alinear la guía de privacidad del DJI Trust Center con el comportamiento real de DJI Fly y DJI Pilot 2, y evaluar un aviso a nivel de sistema operativo que sugiera desconectar el WiFi cuando LDM esté activo para lograr un air-gap completo.
DJI usa el informe como respaldo ante la FCC
DJI presentó la auditoría de OnDefend como respaldo técnico en su apelación por la inclusión en la FCC Covered List. La firma china sostiene que esa designación no se apoyó en una vulnerabilidad específica documentada, sino en la consecuencia automática prevista por la Sección 1709 de la NDAA de 2025, después de que el Departamento de Seguridad Nacional no completara su revisión antes del plazo del 23 de diciembre de 2025.
En la carta de DJI al Departamento de Seguridad Nacional, la compañía citó evaluaciones previas realizadas por firmas como Booz Allen Hamilton, FTI Consulting, Kivu Consulting y TÜV SÜD, además de revisiones del Departamento de Interior de Estados Unidos y del Laboratorio Nacional de Idaho para CISA.
DJI también argumentó que sus prácticas de seguridad y privacidad ya cuentan con certificaciones y estándares reconocidos internacionalmente, entre ellos:
- ISO 27001 para gestión de seguridad de la información.
- ISO 27701 para gestión de privacidad de datos.
- NIST FIPS 140-2 CMVP Nivel 1 para validación de módulos criptográficos.
- SOC 2 para controles de seguridad, disponibilidad y confidencialidad.
DJI también destacó varias protecciones incorporadas en sus plataformas:
- Herramientas que permiten gestionar y restringir el intercambio de información según los requisitos de cada organización.
- Cifrado AES-256-XTS para proteger la información almacenada.
- Operación sin sincronización automática de registros de vuelo hacia servidores DJI en Estados Unidos.
- Opciones de control local de datos para usuarios empresariales y gubernamentales.
El impacto comercial de la disputa
DJI sostiene que una restricción no afectaría solo al fabricante, sino también a organismos públicos, operadores comerciales y usuarios que dependen de sus drones para actividades profesionales. En su defensa, la compañía vincula el caso con empleo, actividad económica y continuidad operativa.
- Más de 450.000 empleos asociados al ecosistema de drones en Estados Unidos.
- Más de US$ 116.000 millones en actividad económica atribuida por DJI a ese ecosistema.
- Un 43 % de usuarios comerciales de drones que, según DJI, considera que una restricción contra sus productos tendría un impacto extremadamente negativo o incluso podría poner fin a sus negocios.
La auditoría no cubre todo el catálogo ni versiones futuras
El informe está limitado a los sistemas evaluados durante la ventana de pruebas: DJI Air 3S con RC 2 y DJI Fly, y DJI Matrice 4E con RC Plus 2 Enterprise y DJI Pilot 2. La evaluación se desarrolló entre octubre de 2025 y marzo de 2026, por lo que sus conclusiones aplican a esas unidades, versiones de hardware, firmware, aplicaciones y servicios revisados en ese periodo.
Los resultados son favorables para los modelos analizados, pero no equivalen a una certificación permanente sobre todo el catálogo de DJI ni sobre futuras actualizaciones de software, firmware o componentes.
OnDefend recomienda pruebas continuas para nuevas versiones
OnDefend advierte que una auditoría de un momento específico no puede medir por sí sola la seguridad y la privacidad de datos en el futuro. Por eso propone un modelo de validación continua basado en muestras estadísticamente significativas de dispositivos, firmware, aplicaciones y servicios de soporte.
Las recomendaciones del auditor incluyen:
- Software: pruebas en cada lanzamiento importante, con una frecuencia que puede variar entre una vez al mes y una vez por trimestre según el ciclo de desarrollo.
- Firmware: revisiones en cada actualización mayor, normalmente varias veces al año.
- Hardware, radiofrecuencia y cadena de suministro: pruebas completas ante cada revisión de componentes o proveedores.
- Evaluación integral: al menos una revisión completa anual, complementada con muestras periódicas para verificar que los resultados sigan siendo válidos en unidades posteriores.
- Objetivo: Detectar variaciones en la interacción entre firmware, software y servicios de soporte, además de responder a nuevas metodologías de ataque y mantener la confianza en el comportamiento del sistema durante todo su ciclo de vida.
