Site icon Sophos News

Juguetes: cada día más inteligentes, pero ¿son seguros?

Cada Navidad, las estanterías de las tiendas se llenan de juguetes más grandes, complejos e “inteligentes” conectados a Internet. Todo esto no es una novedad, pero hay muchas cosas en el interior de esos dispositivos que los padres deberían conocer.

De hecho, una gran cantidad de pruebas sugieren que los compradores deberían ser muy cautelosos porque se encuentran ante problemas similares a los que atañen al Internet de las Cosas de la que los juguetes conectados son parte.

Estos problemas incluyen:

Comencemos con el tema de la información personal. El primer aviso surgió en 2015 cuando el fabricante de juguetes de Hong Kong VTech sufrió una filtración de datos que comprometió la información personal de 4,8 millones de cuentas de usuarios conectadas a 6,3 millones de niños.

Más allá de varios fallos técnicos, no inspiró confianza cuando posteriormente la empresa pretendió pasar las responsabilidades de futuras filtraciones a sus clientescambiado sus términos y condiciones de manera que “aceptas que cualquier información que se envíe o reciba durante el uso de la web pueda no ser segura y interceptada o posteriormente adquirida por terceros sin autorización”.

Resumiendo, si metemos la pata es tu problema al confiar en nosotros. Esto posiblemente sea inaplicable, pero aún a día de hoy hay abiertas causas judiciales por esta filtración.

Nuestro primer consejo, por lo tanto, es que cuando un juguete se use con una app o un servicio online, chequear los términos y condiciones cuidadosamente para detectar clausulas como esa y tomarlas como una mala señal.

Como prueba de que este no es un caso aislado, en 2017 la empresa americana Spiral Toys’ CloudPets sufrió una filtración en su base de datos exponiendo 2,2 millones de mensajes de voz. Para empeorar las cosas, Spiral Toys ignoró las advertencias del investigador que descubrió el problema.

¿Y los juguetes espía?

Sobre esa época, las autoridades alemanas emitieron una advertencia sobre la popular muñeca de Genesis Toys My Frien Cayla ya que podía ser usada para espiar a los niños o a cualquier persona en su rango de alcance.

El mensaje fue claro: “La posesión de este dispositivo es ilegal”.

En las navidades de 2017 parece que los juguetes conectados son un campo muy sencillo para que los investigadores encuentren fallos de seguridad, grandes o pequeños. Por ejemplo tenemos Furby Connect de Hasbro, que tenía un diseño deficiente en seguridad de su BlueTooth descubierto por una empresa del Reino Unido.

Otros problemas más serios se descubrieron en juguetes que usan wifi, por no mencionar pobres sistemas de actualización de firmware, relojes inteligentes con mala seguridad o drones vulnerables a los que se les pueden interceptar datos.

Tómalo o déjalo, pero no hay ninguna manera de que alguien que compre un juguete conectado sepa si dispone de una buena seguridad local o remota, o cuando recibe o recolecta información y la envía a servidores remotos.

Si tiene problemas de seguridad, no hay ninguna garantía de que se solucione o simplemente se conozca. Es como si los márgenes de ganancia de un producto de menos de 50€ justificara que no se tomaran las medidas oportunas.

Las tiendas, mientras tanto, no ven los problemas de seguridad como una razón para retirar de la venta esos juguetes.

Por todo esto, nuestro segundo consejo es que realices una búsqueda sobre el juguete y su fabricante para conocer si hay algún problema conocido antes de comprar el juguete.

Un último punto es si los juguetes pueden formar parte de una plataforma para el secuestro de dispositivos como la que alimentó a la botnet DDoS Mirai en 2016.

Por ahora esa amenaza de “juguetes zombi” parece pasada. Los juguetes no están encendidos el tiempo suficiente y la gran mayoría no disponen de la suficiente potencia de procesado o de batería para ejecutar el tipo de software que hace posible la amenaza.

Por todo esto creemos que los padres deberían tener en cuenta todos estos temas y nuestros consejos cuando piensen en comprar un juguete “inteligente” a sus hijos.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Exit mobile version