El Ciberespionaje llega a los juguetes

Los juguetes conectados forman parte del denominado Internet de las Cosas. Tostadoras, neveras, 'wearables', coches.... Todo va conectado. Y el riesgo está ahí. Cabe recordar el ataque que sufrió hace dos años la empresa de juguetes VTech. Por entonces, los ciberdelincuentes consiguieron hacerse con los datos de millones de niños de todo el mundo. Por supuesto también españoles.

Pues hace algunos días conocíamos un nuevo ataque ataque informático contra 'CloudPets', un juguete capaz de conectarse a Internet a través de Android y iOS con el fin de poder intercambiar mensajes de voz entre amigos. Además, gracias al micrófono incluido en el juguete, los niños pueden enviar mensajes a sus padres o madres, así como a la inversa, facilitando la comunicación cuando los padres no pueden estar cerca.

Todos los mensajes enviados por los niños se almacenaban en los servidores de la compañía Spiral Toys, sin cifrar ni proteger de ninguna manera y, como era de esperar, al final ha ocurrido lo inevitable.

Ahora se ha descubierto que más de 800.000 cuentas de usuario de CloudPets y más de dos millones de conversaciones estuvieron totalmente expuestas. Esto significa que cualquier persona con Internet pudo acceder a nombres de usuario, contraseñas, correos electrónicos, y grabaciones de audio de niños.

Toda esta información estuvo sin ningún tipo de seguridad en Internet desde hace más de dos meses, tiempo suficiente para que hackers hayan podido descargar toda está información para usarla con fines maliciosos.

Expertos de seguridad de troyhunt.com acusan a la empresa, Spiral Toys, de no tener un sistema de seguridad fiable para proteger las cuentas de los niños y padres que usan su juguete. De hecho, en el vídeo de presentación del proyecto se muestra cómo se crea una contraseña de solo 3 letras, y muchos de los usuarios usaron las mismas letras para crear sus cuentas, siendo posible también poner passwords como 11111, o 123456, sin reglas obligatorias hoy día para crear un password más robusto.

Otro caso es de 'Cayla' una muñeca interactiva que puede sostener una conversación con el niño en tiempo real, obteniendo la información para conversar de Wikipedia. Pues esta joyita transfiere los datos a la compañía Nuance Communications, especializada en tecnología de reconocimiento de voz, quien además, se reserva el derecho de usar la información para cualquier propósito.

Por lo tanto, los padres tienen que estar al día de todas estas cuestiones que afectan de manera directa a sus hijos. Aquí os dejo una serie de medidas básicas, visto que los fabricantes aún tienen pendiente como prioridad la tarea de la seguridad en este tipo de dispositivos. El objetivo es poner todas las medidas que estén a nuestra disposición para que los cibercriminales no tengan a los menores como un objetivo fácil.

Los padres o tutores de los pequeños deben tomarse el tiempo necesario para comprender cómo un juguete, ya sea una videoconsola, coche de control remoto o muñeca, se conecta e interactúa con Internet. Deben saber que todo aparato conectado a la Red siempre es susceptible de ser 'hackeado'.

Lo primero que hay que tener en cuenta es que no hay que dejar las contraseñas con las que vienen de fábrica; los padres deben de estar al tanto de quiénes son los amigos virtuales de los menores, quienes pueden recibir solicitudes de amistad dudosas. También conviene revisar los chats del muñeco conectado. ¿Con quién habla el menor? ¿De qué habla?

Muy importante es también tener asegurados los medios de pago, algo que solo debe ser controlado por los padres. Sólo así se impedirá que los menores puedan hacer compras dentro de la propia aplicación. Los niños no deben conocer este tipo de claves, que tampoco pueden quedar almacenadas o recordadas en los dispositivos. Por último, recuerda una de las medidas de seguridad informática más básicas y efectivas: Tener siempre el software actualizado.