Vulnerabilidades y espionaje: la otra cara de los juguetes conectados

La organización de consumidores británica Which? alerta sobre posibles fallos de seguridad de estos aparentemente inocentes aparatos para niños que suelen requerir el uso de un móvil y que podrían hacer que cualquiera se comunicara con el menor

Los juguetes «inteligentes» suelen despertar el interés de todos, sobre todo, el de los niños actuales. Robots, humanoides, muñecos interactivos. Un sinfín de productos que se suman a los ya clásicos peluches o coches.

Los hábitos de los pequeños han cambiado con el tiempo y la tecnología está cada vez más presente en sus vidas. Pero aquellos que requieren de conectividad a internet pueden conllevar ciertos riesgos si no se observan adecuadamente.

 

Como hiciera con anterioridad, la organización de consumidores británica Which? ha alertado de una serie de vulnerabiliades localizadas en algunos modelos de juguetes conectados y que podrían presentar un riesgo para la seguridad de los menores. Estos «agujeros de seguridad» provienen de la conectividad inalámbrica a través de Bluetooth o WiFi. La investigación ha descubierto que cualquier persona con conocimientos técnicos podría «comunicarse» con el usuario (un niño en este caso).

 

Los analistas han encontrado estas carencias técnicas en algunos juguetes de peluche de las marcas Furby, I-Que Intelligent Robot, Toy-fi Teddy y CloudPets. En cada uno de ellos, la conexión Bluetooth no contenía los estándares de de seguridad requeridos, lo que significa que durante las pruebas un cibercriminal no necesitaría de contraseña, código PIN ni ninguna otra autenticación para acceder a los datos que conectan al juguete con el dispositivo móvil.

 

¿Qué implica esto? Según las pruebas realizadas una persona puede conectarse a la red Bluetooth del juguete. «Nadie dejaría un niño pequeño con un smartphone sin supervisión», afirma en un comunicado el director de Productos y Servicios del Hogar de Which?, Alex Neill, pero insta a los padres a aplicar el «mismo nivel de cuidado» cuando le regalan a un niño un juguete conectado.

 

Las principales marcas han reaccionado. Así, la compañía de juegos Hasbro, creadora del Furby Connect, ha explicado que se toman las investigaciones sobre sus juguetes «muy en serio» y apunta a que las vulnerabilidades expuestas «únicamente pueden ser aprovechadas por alguien que esté muy cerca del juguete» y «tenga los conocimientos técnicos para rediseñar el ‘firmware’». Por su parte, Vivid Toys, distribuidora del robot i-Que, también ha señalado que no se han denunciado usos perniciosos de su producto y que su juguete «cumple con las normativas británicas y europeas».

 

Antecedentes similares

No es la primera vez que los llamados juguetes conectados se miran con lupa desde una perspectiva de ciberseguridad. CloudPets, peluches de la compañía Spiral Toys, también ha estado implicada en una polémica similar. El experto en ciberseguridad Troy Hunt descubrió que más de 800.000 cuentas de usuarios y más de dos millones de conversaciones de estos peluches fueron expuestas sin ningún tipo de seguridad. La información de los usuarios (grabaciones de audio, correos electrónicos, contraseñas…) estuvo disponible en internet durante semanas, accesible para cualquiera y a la mano de los cibercriminales.

 

Vtech también tuvo que luchar contra una crisis derivada de la exposición de 6,3 millones de cuentas de usuarios menores, mientras que la muñeca Cayla se ha convertido en objeto de controversia: diversas asociaciones y organizaciones aseguraron que Genesis Toys, la marca responsable, «espiaba» a los menores. Incluso la clásica muñeca Barbie, que actualizó uno de sus modelos Hello Barbie, incluyendo capacidades de interacción con un software basado en aprendizaje automático, ha estado envuelta en polémica. Las conversaciones quedaban grabadas y almacenadas en los servidores de la marca propietaria Mattel durante dos años. La compañía tuvo que emitir un comunicado en el que aseguraba que respetaba la privacidad de los menores y que esas conversaciones se guardaban para «mejorar el producto» con previo consentimiento de los progenitores.

 

Cómo evitar ser «hackeado» desde un juguete conectado

 

1.- Cambiar las contraseñas que vienen por defecto

2.- Revisar el uso de los menores (con quién chatea, qué hacen… )

3.- Establecer controles parentales en los dispositivos electrónicos (móviles, tabletas, consolas… ) siempre que se pueda

4.- Actualizar en la medida de lo posible el software

 

 

Fuente y fotografía: ABC