Si bien siempre relacionamos los robos de información y los «hackeos» con nuestros teléfonos, computadoras y dispositivos similares, lo cierto es que a medida que diferentes áreas de nuestra sociedad se van «tecnologizando», los peligros se van extendiendo por lugares que, en principio, consideraríamos como inofensivos o bien protegidos, como los juguetes para niños.
Debido a las regulaciones cada vez más exigentes a nivel mundial en lo que se refiere a los juguetes, pensamos que los más pequeños están en un entorno seguro cuando utilizan un juguete electrónico. Sin embargo, tal y como cuentan en un artículo publicado en el blog de la empresa de seguridad Kaspersky, esto no es así, sino al contrario: cada filtración de datos que se da a conocer, deja más claro que no se puede confiar en los fabricantes a la hora de preocuparse de nuestra seguridad o la de nuestros hijos.
Desde Kaspersky, cuentan dos casos que sirven para ilustrar esta situación y que han sido lo bastante graves como para que en algunos países se llegue a prohibir la comercialización de ciertos juguetes o se abran diligencias judiciales por falta de medidas de seguridad.
Juguetes que pueden usarse para espiar… si es que no lo hacen ya
En diciembre de 2016, se presentó una demanda ante la Comisión Federal de Comercio de los Estados Unidos contra Genesis Toys, productor de las muñecas Cayla y de los robots de juguete i-Que. También se incluyó a Nuance Communications, la compañía detrás de la tecnología de reconocimiento de voz que permite a los juguetes conversar con los niños. La demanda era porque se acusaba a las compañías de estar usando los juguetes para espiar.
Las acusaciones se basan en varios aspectos. Para empezar, la aplicación que es necesaria para poder interactuar con las muñecas Cayla pide permiso para acceder a los archivos almacenados en el dispositivo y la del robot i-Que lo hace para acceder a la cámara, y este último no se menciona ni en el sitio web oficial ni en el vídeo de demostración del robot. Pero lo grave es que el proveedor no explica para qué necesitan las aplicaciones estos permisos.
Pero este no es el único problema: para conectarse a un dispositivo móvil como un teléfono o una tablet, los juguetes recurren a Bluetooth, una conexión insegura que no requiere autenticación. Además, el juguete no notifica a los usuarios cuando se conecta a un dispositivo, lo cual permitiría que un intruso no sólo escuchase lo que sucede alrededor del juguete, sino emplearlo también para hablar con el niño.
La aplicación de la muñeca Cayla además les pide a los niños que proporcionen información personal que sirve para identificarlos; cosas como nombre de los padres, lugar de residencia, nombre de la escuela y otras más. Y tanto las aplicaciones de Cayla como la de i-Que envían grabaciones de las conversaciones a los servidores de Nuance Communication, donde, como se suele decir en estos casos, se analizan y almacenan para mejorar el servicio. Esto ya puede despertar suspicacias, pero es que los proveedores no explican claramente qué tipo de datos recopilan de los niños.
En Alemania, todo esto fue suficiente para que la venta de los juguetes de Genesis Toys se prohibiera y se instase a los que ya tuviesen uno a que deshiciesen de él. Y es que el gobierno los calificó como dispositivos de vigilancia ocultos, los cuales están prohibidos por ley. Además, más o menos al mismo tiempo que se presentaba la demanda, la Junta de Protección al Consumidor de Noruega también expresó su preocupación por las cuestiones de privacidad en esos juguetes.
Una base de datos desprotegida
De acuerdo: que algo pueda usarse con malas intenciones no quiere decir que se esté usando así. Pero hay que pensar, como hemos dicho por aquí alguna vez, que cualquier cadena es tan fuerte como su eslabón más débil, y si la empresa no hace un uso malicioso de los datos que recauda, sí puede ser que otro lo haga si su nivel seguridad es ínfimo, como ocurrió con Spiral Toys.
Esta empresa ofrecía un juguete llamado CloudPets. Son animales de peluche que permiten intercambiar mensajes entre niños y padres: el juguete se conecta a los teléfonos de los padres a través de Bluetooth y estos usan una aplicación para conectarse al juguete.
La idea en sí misma no es mala, porque puede ser una excelente manera de que los padres permanezcan en contacto con sus hijos. Pero claro, Spiral Toys no se había preocupado bastante de la seguridad y la base de datos de credenciales de usuario no estaba protegida para nada: cualquiera podía conectarse al servidor sin autenticación, buscar los datos que quisiera en la base de datos o incluso duplicarla y almacenarla en otro equipo.
Un investigador de seguridad, Victor Gevers, descubrió el problema y lo notificó a la empresa el 31 de diciembre de 2016. Al poco, Troy Hunt, un reconocido experto en seguridad, recibió de una fuente anónima un archivo que contenía más de medio millón de registros de usuarios de CloudPets. Además del nombre del niño, cada registro contenía una fecha de nacimiento e información sobre los parientes con los que el niño hablaba a través del juguete. En total, el número de registros comprometidos de usuarios de CloudPets superó los 800.000.
Encima, también se descubrió que era posible escuchar grabaciones de mensajes debido a que estas se almacenaron en la nube de Amazon S3. Al acceder a la base de datos, un atacante sólo tenía que hacer clic en un enlace en ella para obtener un archivo de sonido del servidor. El número total de grabaciones disponibles superó los 2.000.000.
Más allá de los pormenores del caso concreto, lo que esto revela es la necesidad de implementar políticas muy exigentes a nivel de protección de las bases de datos ya que estas suelen recopilar información muy delicada que delincuentes creativos pueden usar de muchas maneras diferentes. Y es que Spiral Toys no ha sido la única empresa de su tipo que ha sido afectada por robos de información, sino también ha habido casos que afectaron al sitio web oficial de los juguetes Hello Kitty, con más de tres millones de registros de usuarios comprometidos, y a la tienda online VTech, con cinco millones y medio de registros y una gran cantidad de fotos de niños.
Algunos consejos para padres
Si bien los usuarios finales, los niños, no pueden hacer mucho en esta materia, los padres si pueden tomar en cuenta algunos aspectos a la hora de comprar a sus hijos un juguete electrónico. Desde Kaspersky señalan los siguientes elementos en los que hay que fijarse para considerar si el juguete vale la pena en relación con la privacidad del niño (y la nuestra por extensión):
– Que el juguete envíe datos a Internet. Hay muchos que lo hacen y la tendencia se está extendiendo a juguetes que no entrarían en la categoría de electrónicos estrictamente.
– Que las acciones que realiza el juguete no puedan controlarse. Hablamos de señales, como un indicador, de que se ha activado el micrófono o la cámara. Incluso en el caso de las aplicaciones, es necesario que se notifique. Los laboratorios de Kaspersky descubrieron que el 96% de las aplicaciones se inician en segundo plano incluso si el usuario no las ha ejecutado.
– Que el juguete esté equipado con un micrófono y una cámara. En esto no se refieren solo a peluches y robots muy avanzados, sino también a aplicaciones que piden permisos importantes como acceder a estas partes o al almacenamiento.
– Que el juguete solicite información personal al niño.
– Que la configuración sea muy sencilla. Por ejemplo, una conexión Bluetooth no necesita de autenticación.
