¿Cómo suelen escoger los padres los regalos para sus hijos? Sin duda, ellos buscan los juguetes más vivos, bonitos y atractivos (de preferencia educativos). No es sorpresa que la mayoría escoge gadgets, incluyendo computadoras para niños, muñecas activadas por cámaras, robots de control remoto, drones o coches de juguetes. Mientras hacen sus investigaciones de pre-compra, se interesan en qué tan grande es el juguete, de qué materiales está hecho, si tiene orillas filosas o algunos otros parámetros físicos. Algo en lo que nunca ponen atención es en la ciberseguridad. Bien, es momento de que lo hagan.
¿Qué peligro puede tener un juguete?
El asunto es que los padres no son los únicos a los que no les importa la ciberseguridad – algunos fabricantes de juguetes también descuidan el tema. Cualquier gadget conectado es, en esencia, una mini computadora que depende de un software. Los hackers no se quedan sin hacer nada, y siempre tratan de encontrar debilidades que les ayuden a comprometer la seguridad del juguete y a convertirlo en una cámara de vigilancia o una herramienta para hacer bromas malvadas. También existen preocupaciones sobre cómo los proveedores almacenan y procesan la información del usuario en sus servicios de la nube. Inevitablemente, la mayoría de los juguetes conectados envían algo de información, incluyendo no solo fotos, sino también videos e historiales de búsqueda de sus proveedores. También, varios juguetes requieren crear una cuenta de usuario online donde los padres colocan deliberadamente sus nombres reales, direcciones postales y más información personal importante.
Algunos padres pueden pensar: ¿quién podría estar interesado en hackear juguetes? ¿Cuál es el alboroto de la vigilancia si no tenemos nada que esconder? Francamente, no siempre tenemos las respuestas. Por ejemplo, no podemos explicar por qué una persona hackearía un monitor de bebés, espiaría a un niño y lo espantaría por las noches. Bien, no importa el por qué. Lo que importa es el hecho de que espantó a un niño de 3 años. La motivación detrás del espionaje vía cámara web es mas o menos explicable: el juguete puede grabar videos de lo que sea que está pasando en tu casa. La cámara incluida en tu oso de peluche podría convertirse en un informante perfecto para los ladrones.
El tamaño del problema
Si aún no te has dado cuenta del tamaño del problema, recordemos algunas noticias recientes. Empecemos con VTech, un fabricante de juguetes que produce una variedad de gadgets conectados para niños. El pasado noviembre un hacker anónimo descubrió que la información que generaban los gadgets era enviada a los servidores de la compañía en texto no cifrado, y se las arregló para obtener acceso a esos servidores. Como resultado, fue capaz de descargar más de 190GB de foto guiones de conversaciones entre padres e hijos, grabaciones de voz y credenciales de usuarios. No está claro qué fue lo que hizo con la información, pero sí mandó una parte a los reporteros, quienes estaban claramente asustados por la facilidad con la que lo hackearon. Los investigadores dijeron que la vulnerabilidad que explotó el hacker sigue sin ser parcheda. Sin embargo, Vtech editó su acuerdo con el usuario, añadiendo una declaración que especifica que cualquier información personal compartida con Vtech a través del software o del sitio web del proveedor puede ser interceptada por terceros.
Al mismo tiempo, expertos en seguridad centraban sus miradas en la nueva Hello Barbie – La muñeca interactiva de Mattel que escucha a los niños y les responde, como Siri de Apple lo haría. Resulta que un hacker hábil podría tener fácil acceso a la muñeca inteligente y robar credenciales de usuario, notas de voz, e incluso secuestrar el micrófono integrado.
Después, los expertos probaron otro juguete inteligente, el Smart Toy Bear de Fisher Price. La aplicación resultó tener varios huecos en la seguridad, los cuales permitieron a un hacker conocer el nombre del niño, su fecha de nacimiento y otra información personal. El proveedor actuó con rapidez y arregló el problema, pero el hecho de que tales debilidades existan comprueba que los fabricantes no tienen la suficiente experiencia para asegurar sus productos.
Plan de acción
De ninguna manera estamos diciéndole a los usuarios que le digan que no a los juguetes educativos. Todo lo contrario: apoyamos totalmente el uso de tecnologías en la educación de los niños. Sin embargo, recomendamos que se sigan estas sugerencias:
- Cuando compres un juguete conectado, revisa qué tipo de información comparte con el fabricante. Obviamente, una muñeca o un coche de control remoto no necesitan saber tu ubicación por GPS, grabar o alguna otra información personal.
- Averigua cómo será usada la información. Si simplemente será almacenada en los servidores de la compañía para que puedas acceder remotamente a ella o sea utilizada con propósitos de aprendizaje del juguete, está bien. Pero en muchos casos, el acuerdo con el usuario establece que la información puede ser compartida con “terceros” para “mejorar” las tecnologías. Eso no significa que los terceros no sean confiables, pero mientras más personas posean tu información, más alta es la posibilidad de que sea comprometida.
- Cuando registres tu cuenta a un servicio en línea, no compartas la información real de tu hijo. En el mejor de los casos podría ser usada con fines publicitarios, en el peor de los casos, podría terminar en manos de un hacker.
- Es una decisión inteligente el llenar solo los campos obligatorios en los formularios de registro.
Y lo más importante, antes de comprar cualquier juguete inteligente, realiza una investigación en Internet para descubrir más acerca de este, especialmente en conexión con los robos de información y otros incidentes de seguridad relacionados. En caso de que el juguete haya sido involucrado en algún incidente de seguridad, vale la pena revisar cómo se hizo cargo la empresa. Las debilidades son un fenómeno común en el mundo del software, independientemente del tamaño de la empresa. Sin embargo, si un vendedor se toma en serio los temas de seguridad, las debilidades serán resueltas rápidamente.