En las últimas horas han surgido varias historias relacionadas con graves problemas de seguridad con juguetes “inteligentes” o conectados. Por una parte, tenemos la prohibición en Alemania de la venta de la muñeca “My Friend Cayla” por los graves riesgos que supone para la privacidad de los niños y por otra la publicación de millones de mensajes de voz de niños y padres grabados a través de ositos de peluche CloudPets conectados a Internet además de la demostración de como cualquier persona puede tomar control de los mismos, espiar o interactuar con nuestros pequeños.

my friend cayla

 

Empezamos por la última historia que afecta al fabricante de juguetes Spiral Toys y a su gama de peluches CloudPets. Estos peluches conectados permiten tanto a niños como padres grabar mensajes de voz que se envían de unos a otros. Pues bien, este fabricante como hemos visto tantos y tantos casos en el incipiente mundo de IoT, no consideró o al menos no contrastó debidamente, como una prioridad la seguridad de su producto.

El investigador de seguridad Troy Hunt, a través de una búsqueda a través del motor Shodan descubrió la disponibilidad pública en una base de datos MongoDB, mantenida por la empresa rumana mReady, de millones de mensajes de voz grabados por niños y padres además de credenciales para más de 800.000 cuentas. Por si esto fuera poco, el investigador también descubrió toda una serie de accesos no autorizados a estos datos e incluso que estos habían sido utilizados para llevar a cabo chantajes y que el fabricante estaba al corriente del problema de seguridad pero que no actuó diligentemente para remediarlo. De nuevo volvemos a lo mismo, empresa que o no es consciente de los riesgos o no los valora adecuadamente y que pone en riesgo a los más pequeños de la casa.

cloudpets

Las últimas novedades en cuanto a este caso es que a través de la API web de Bluetooth cualquiera puede controlar a los peluches sin ningún tipo de autenticación, pudiendo grabar desde el micrófono del peluche, emitir sonidos a través de el, activar los leds, etc... el único requerimiento para el atacante es estar en el radio de cobertura del Bluetooth de su pc, Smartphone y emparejarse con el juguete. Para esto además no hace falta ningún acceso físico al peluche a pesar de que en su configuración inicial se nos pida presionar una de sus patas, lo cual puede parecer una medida de seguridad pero resulta ser algo completamente prescindible.

En el video siguiente podemos ver como funciona este control, desde una web especialmente programada para ello como puede ser esta.

La segunda historia relacionada con estos muñecos “diabólicos”, nos lleva a Alemania donde se ha prohibido la venta de la muñeca “My Friend Cayla”. Esta muñeca con conectividad a Internet ha visto su venta prohibida por el organismo regulador de las telecomunicaciones alemán (Bundesnetzagentur) debido a los peligros a los que se expone a los niños con su uso.

Alemania y su regulador de las telecomunicaciones, han tomado la delantera a otros muchos países que investigan lo mismo y se han puesto firmes ante los graves riesgos en cuanto a privacidad y espionaje que provocan toda la avalancha de juguetes conectados a Internet que hemos visto estas pasadas navidades. Estos juguetes incluyen tecnologías para las que muchos padres no están preparados y que además suelen destacar por la falta de seguridad en sus aplicaciones finales.

El presidente de este organismo alemán, Jochen Homann, ha llegado a decir que los padres que ya hayan comprado la muñeca deberían destruirla de inmediato ya que “aquellos objetos que esconden cámaras o micrófonos con conexión que pueden transmitir datos de manera inadvertida ponen en peligro la privacidad de las personas”, más claro agua. Esta muñeca en concreto dispone de un micrófono interno, un sistema de reconocimiento de voz y conexión a través de Bluetooth que se puede controlar, limitadamente a través de una app. Todo esto permite a la muñeca “aprender” sobre los gustos, familia, historias que se le cuentan y buscar información en Internet para interactuar por ejemplo cuando se le hacen preguntas concretas.

En el caso de la muñeca, Nuance, la empresa que proporciona el polémico software de reconocimiento de voz se reserva el derecho a registrar las conversaciones del niño y a compartir esa información con terceros cosa que obviamente hace para hacer recomendaciones comerciales a los niños (productos de la misma empresa, otros juguetes o películas...)

Como podéis ver en el siguiente enlace parece que esta no es la única polémica que afecta a esta empresa en referencia a este sistema de interactividad y conectividad con los juguetes, presente en otros productos como Hello Barbie y el robot i-QUE.

En nuestro país este mismo asunto se encuentra bajo investigación de la Agencia Española de Protección de datos tras la denuncia interpuesta por la OCU en el mismo sentido.

Juguetes conectados? No gracias

¿Viendo el panorama podemos estar seguros los padres ante este tipo de juguetes? la respuesta es clara y llanamente NO. Ni tan solo fabricantes con una gran reputación como VTech, como ya vimos en cyberseguridad.net o Mattel  se libran de estos problemas. Como hemos repetido en otras ocasiones por lo general la seguridad de los productos IoT es tremendamente pobre, lo cual si afecta a la bombilla inteligente que podemos encender y apagar desde nuestro Smartphone pues podemos relativamente ignorarlo pero cuando estamos hablando de juguetes que se pasan el día con nuestros hijos, que graban todo lo que dicen, que luego esto es distribuido a saber a qué compañías y con qué fines, que es almacenado y transmitido utilizando estándares de seguridad no adecuados, que además le come el coco a nuestros hijos con publicidad ....

Como padres y tutores debemos tener claro que, primero, es nuestra responsabilidad proteger a nuestros pequeños de todas estas amenazas y segundo, que para protegerlos efectivamente hemos de conocer tanto como podamos todas aquellas tecnologías y riesgos asociados a los juguetes que compramos y en caso de duda optar por juguetes tradicionales.

Fuente Troy Hunt

The Register

Eldiario.es