Cuidado con estos juguetes que podrían ser hackeados para espiar a tus hijos o hablar con ellos
Apenas he leído la noticia me he preguntado, ¿pero esto puede suceder? ¿cómo es posible que una persona pueda ver o hablar con nuestros hijos a través de un juguete? Da mucho miedo, pero puede ser, así que mucho cuidado con la seguridad de los juguetes que compramos.
La consultora británica Which? ha publicado un informe en el que alerta sobre la vulnerable seguridad de algunos populares juguetes para niños que llevan Wi-Fi o Bluetooth incorporado. Los hackers podrían acceder a los juguetes y utilizarlos para espiar a tus hijos o hablar con ellos.
Los expertos probaron siete juguetes con conectividad para valorar su nivel se seguridad y descubrieron que alguien podría usar un juguete para comunicarse con un niño en cuatro de los siete dispositivos probados. La investigación reveló fallos de seguridad preocupantes con los juguetes de peluche Furby, I-Que Intelligent Robot, Toy-fi Teddy y CloudPets.
Furby: fue uno de los juguetes más vendidos en Toys R Us las pasadas Navidades. No lleva ninguna protección de seguridad cuando se sincroniza, abriendo la posibilidad a que se pueda controlar el juguete a través de un ordenador portátil. Al probarlo, los expertos en seguridad pudieron cargar y reproducir un archivo de audio personalizado en el Furby. Sin embargo, no sería de los más vulnerables, puesto que el hacker debería encontrarse dentro de un rango de Bluetooth de entre 10-30 metros de distancia para acceder a su control.
I-Que Intelligent Robot: se trata de un robot inteligente parlante que usa Bluetooth para sincronizar con un teléfono o tableta a través de una aplicación, pero la conexión no es segura. Descubrieron que cualquiera puede descargar la aplicación, encontrar un i-Que dentro del alcance de Bluetooth y comenzar a chatear usando la voz del robot escribiendo en un campo de texto. El juguete está hecho por Genesis Toys, el mismo fabricante que la muñeca Cayla, que fue prohibida recientemente en Alemania debido a problemas de seguridad y piratería.
Toy-fi Teddy: es un osito de peluche que permite a un niño enviar y recibir mensajes personales grabados a través de Bluetooth con una aplicación instalada en el móvil o tablet. Los expertos descubrieron que la conexión Bluetooth carece de protecciones de autenticación, lo que significa que los hackers podrían enviar sus mensajes de voz a un niño y recibir respuestas de vuelta.
CloudPets: son animales de peluche que cuestan alrededor de 20 euros y permiten grabar voz y reproducirla como si los animales hablasen. Los autores del informe descubrieron que alguien podría hackear el juguete a través de su conexión Bluetooth no segura y hacer que reproduzca sus propios mensajes de voz. Hace algunos meses se descubrió además un gran fallo de ciberseguridad que expone en internet más de dos millones de conversaciones entre padres e hijos realizadas con estos peluches, sin contar que también quedaron expuestos los datos que los padres ingresaron para acceder a la app como nombre, dirección, número de teléfono y nombre del niño.
¿Cómo es posible? El internet de las cosas
Hemos hablado con Javier, experto en tecnología y editor de nuestro blog hermano Xataka, para que nos explique un poco mejor cómo es posible que algo así suceda.
Nos ha explicado un poco sobre el funcionamiento del internet de las Cosas (a menudo escrito como IoT), algo que a día de hoy es muy vulnerable. Está en cámaras de seguridad doméstica, impresoras conectadas, neveras conectadas, bombillas inteligentes, etc. Todos los cacharros de casa que de alguna forma estén conectados a Internet. Y eso incluye también a los juguetes conectados, así como a los vigilabebés con cámaras de seguridad.
Son inseguros porque suelen dejar la misma clave de acceso de fábrica, tipo 1234, a la que es muy fácil acceder, a pesar de que suelen estar cifradas. Si no provienen de un fabricante concienciado y comprometido con la seguridad, los juguetes conectados pueden convertirse en una vía para los hackers para conectar con los niños.
Javier nos explica que un hacker difícilmente podrá decir “voy a comunicarme con el juguete de Joselito Vargas, de Medina del Campo”, específicamente. Lo que hacen es “pescar con red” poniendo contraseñas sencillas (como 1234, 1111 o password) en todos los dispositivos que encuentren de ese tipo. Y con los que funcionen, pueden acceder como si fueran el dueño.
¿Qué podemos hacer los padres?
El FBI ya advirtió del especial cuidado que debemos tener a la hora de comprar alguno de estos juguetes.
En algunos casos, los juguetes con micrófonos pueden grabar y recopilar conversaciones al alcance del oído del dispositivo. Información como el nombre del niño, la escuela, lo que le gusta y lo que no le gusta, y las actividades se pueden divulgar a través de una conversación normal con el juguete o en el entorno. La recopilación de la información personal de un niño combinada con la capacidad de un juguete para conectarse a Internet u otros dispositivos genera inquietud por la privacidad y la seguridad física.
Y recomienda a los consumidores tener en cuenta algunos consejos mínimos de seguridad al utilizar juguetes conectados a Internet (algunos bastante complejos para los padres que no tenemos demasiada idea sobre estas cuestiones).
- Investigue sobre cualquier problema de seguridad reportado conocido.
- Conecte y use juguetes en entornos con acceso a Internet Wi-Fi confiable y seguro.
- Investigue las medidas de seguridad de Internet y dispositivos de conexión del juguete (use la autenticación al vincular el dispositivo con Bluetooth a través de un código PIN o contraseña y use cifrado cuando transmita datos desde el juguete al punto de acceso Wi-Fi y al servidor o la nube)
- Investigue si sus juguetes pueden recibir actualizaciones de firmware y/o software y parches de seguridad.
- Supervise de cerca la actividad de los niños con los juguetes (como conversaciones y grabaciones de voz)
Más información | Which?
En Bebés y más | Logran hackear las cámaras IP de bebé para luego colgar los vídeos en internet