VIDEO: Cuidado con los juguetes espías

(Foto: Especial)

Si consideramos que las regulaciones y las leyes son para salvaguardar la privacidad de los niños en particular, uno piensa que los dispositivos electrónicos y los juguetes conectados para niños deben de ser particularmente seguros. La privacidad de los niños debe ser sagrada (pues ellos, en particular, son vulnerables a anuncios, vendedores, depredadores, etc).

Con cada fuga de datos que se descubre va quedando más claro que no podemos confiar en que los fabricantes se ocupen de la seguridad de los niños.

En diciembre de 2016 los defensores de la privacidad presentaron una queja ante la Comisión Federal de Comercio de EU contra Genesis Toys, el productor de las muñecas Cayla y de los robots de juguete i-Que. Otro demandado fue Nuance Communications, empresa responsable de la tecnología de reconocimiento de voz que permite a los niños conversar con los juguetes.

Tal denuncia afecta a los juguetes que espían.

La aplicación que utilizan las muñecas Cayla para interactuar requiere permiso para acceder a archivos guardados en el dispositivo y la aplicación de i-Que pide permiso para acceder a la cámara del dispositivo. El fabricante no explica por qué las aplicaciones necesitan dichos permisos. Es más, ni en la página web oficial ni en el vídeo demo se cita el permiso para acceder a la cámara.

Para conectarse a un smartphone o a una tableta, el juguete utiliza Bluetooth, una conexión insegura que no requiere autentificación. Además, el juguete no notifica a los usuarios cuando este se conecta al dispositivo. Esta inseguridad puede permitir al intruso no solo espiar, sino también hablar con el niño.

La aplicación de la muñeca Cayla hace que los niños faciliten información personal identificable: nombre de los padres, lugar de residencia, nombre del colegio, etc.

Ambas aplicaciones envían grabaciones de las conversaciones a los servidores de Nuance Communication, donde son analizadas para mejorar las respuestas. Los registros se almacenan en los servidores, de nuevo con la finalidad de mejorar el servicio. Los fabricantes no explican qué tipo de información recopilan de los niños.

La capacidad de espionaje de Genesis Toys fue causa suficiente para que los reguladores alemanes prohibieran por completo sus ventas y se urgió a los propietarios de juguetes inseguros a que se deshicieran de ellos. El gobierno alemán identifica a los juguetes de este tipo como dispositivos de vigilancia oculta, los cuales están prohibidos por ley.

En diciembre de 2016, la Oficina de Protección del consumidor de Noruega también expresó su preocupación por los problemas de privacidad de las muñecas Cayla y de los robots i-Que.

Inseguridad

En otro incidente de seguridad, la palabra fuga no llega a describir la magnitud de la brecha.

CloudPets de Spiral Toys son animales de peluche que intercambian mensajes entre niños y padres. El juguete se conecta al smartphone de los padres mediante Bluetooth y los padres usan una aplicación especial para conectarse a él.

A los padres les parecerá un gran modo de mantener el contacto con sus hijos, pero el contenido recopilado por el sistema no estaba protegido adecuadamente. La base de datos de las credenciales de usuario no estaba para nada restringida. Cualquiera podía conectarse al servidor sin identificarse, ver la información o duplicar la base de datos para guardarla en otra computadora.

El investigador de seguridad Victor Gevers se dio cuenta del problema y se lo notificó al fabricante el 31 de diciembre de 2016. Luego, Troy Hunt, un experto en seguridad de renombre, recibió de una fuente anónima un archivo que contenía más de medio millón de registros de los usuarios de CloudPets. Además del nombre de los niños, cada registro contenía la fecha de nacimiento y la información de los familiares con los que el niño hablaba mediante el juguete. El total de registros de CloudPets comprometidos sobrepasaba la cifra de 800 mil.

Por desgracia, también es posible espiar conversaciones sin la contraseña. Los mensajes de las grabaciones y las fotos se almacenaban en la nube de Amazon S3. Un atacante tan sólo tenía que hacer clic en un enlace de una base de datos comprometida para conseguir un archivo de audio del servidor. El número total de grabaciones disponibles era superior a 2 millones.

Por supuesto, los hackers de sombrero blanco no fueron los únicos en saber de la inseguridad. El servidor que almacenaba la información de los niños se convirtió en un desastre, se borraron copias de la base de datos y se hicieron peticiones de rescate. La base de datos terminó por caerse, aunque las copias podrían seguir por ahí.

Spiral Toys no respondió a las personas que intentaban notificarle el problema, lo que incluía a Gevers, Hunt, el informante de Hunt y al reportero Lorenzo Franceschi-Bicchierai. Luego, en marzo de 2017, el senado estadounidense solicitó a Spiral Toys que se sincerara sobre la fuga de la información y sobre sus políticas de protección de datos. Troy Hunt publicó el texto de la solicitud.

Spiral Toys terminó por responder (al fiscal general de California). La fuga no afectó a mensajes ni fotos, afirmó la compañía, porque estaban almacenados en otro servidor. La base de datos comprometida no era la base de datos principal.

Spiral Toys también publicó un apartado de preguntas frecuentes y dio a conocer sus nuevos requisitos para crear contraseñas seguras.

Bases de datos abiertas

Otra fuga prominente incluía la base de datos de la web oficial de la empresa responsable de los juguetes Hello Kitty (con más de 3 millones de registros de usuarios comprometidos) y la base de datos de la tienda online de VTech (5 millones de registros de usuarios y una gran cantidad de fotos de niños comprometidas). Ambos incidentes sucedieron en 2015.

El servicio CloudPets y la web de desarrolladores de Hello Kitty usaban la base de datos de MongoDB como solución de gestión, motivo por el que la prensa se hizo tanto eco después de que los hackers comprometieran (o, para ser precisos, obtuvieran todo el control) de miles de bases de datos.

Los propietarios de las bases de datos secuestradas pueden ser víctimas, pero no son inocentes. Al no requerir autenticación, MongoDB dejó las puertas abiertas a su base de datos y, al usar bases de datos abiertas, los fabricantes indicaron que no les importaba.

Por supuesto, MongoDB no es la totalidad del problema. Todos los esfuerzos de los reguladores, de los defensores de la privacidad y los expertos en seguridad simplemente no pueden ir a la misma velocidad de adopción de las tecnologías ni de la tendencia general de la devaluación de los datos de usuario.

Consejos para padres

+ El juguete envía datos a Internet. Muchos juguetes lo hacen y la tendencia también se extiende a los peluches

+ No puedes controlar las acciones del juguete. Al menos las muñecas Cayla tienen un indicador flash que avisa de que el micrófono está encendido. Con las aplicaciones móviles, no sabrás si lo está. Kaspersky Lab ha descubierto que 96 por ciento de las aplicaciones arrancan en segundo plano, aunque el usuario no las abra

+ El juguete tiene micrófono y cámara. No se trata solo de osos de peluche y de robots (en esta categoría se incluyen las aplicaciones móviles con permisos importantes en el equipo)

+ Si un juguete solicita información personal al niño

+ Los ajustes que sean muy simples. Por ejemplo, una conexión Bluetooth no requiere autenticación

 

 

 

JJR/I