Es un hecho que los juguetes de nuestros hijos son cada vez más digitales y más conectados. La tecnología bien usada puede añadir nuevas funcionalidades a los juguetes tradicionales.
Los juguetes conectados nos gustan y se venden cada vez más.
No somos conscientes de que cuando compramos y entregamos un juguete conectado a nuestros hijos podemos estarnos exponiendo a ataques contra nuestra privacidad y seguridad.
Muchos estaréis pensando… ¡Venga! ¡Estás exagerando!
Pues quizás si o quizás no.
Lo que está claro es que el mundo de los juguetes conectados está plagado de escándalos de seguridad.
¿Te gustaría que todas las conversaciones privadas que tengas con tus hijos fuesen robadas y expuestas?
¿Te importaría que un extraño pusiese desde fuera de tu casa conectarse a un juguete de tu hijo y usarlo como un micrófono para escuchar las conversaciones que hay en tu casa? Un ladrón podría usarlo para detectar cuando no hay nadie en casa y poder entrar a robar.
¿Y si un desconocido pudiese hablar con tus hijos sin que tú te dieses cuenta a través de sus juguetes conectados?
¿Y si un hacker toma el control del dispositivo y le instala su propio software para usarlo como una plataforma para realizar ataques a otros equipos conectados?
Todo esto, por desgracia no es ciencia ficción. Es lo que ha pasado con los peluches conectados CloudPets de la compañía Spiral Toys.
CloudPets
Según un informe del investigador de seguridad Troy Hunt se expusieron 820.000 cuentas de usuario y 2,2 millones de mensajes de voz que se habían distribuido a través del juguete entre padres e hijos y que estaban almacenados en una base de datos insegura MongoDB.
Además, y lo que a mí me parece aún más grave, Paul Stone, que es un consultor de seguridad, demostró que mediante Bluetooth es posible controlar remotamente el muñeco, para hacer escuchas o mandar mensajes. Los rangos de alcance de Bluetooth son entre 10 y 30 metros, por lo que alguien con un teléfono móvil desde fuera de una casa puede acceder al juguete para enviar audios o hacer escuchas.
Además el firmware del juguete no está encriptado ni firmado, con lo que puede ser fácilmente modificado remotamente por alguien con experiencia.
Se puede ver lo fácil que es hacer esto en el siguiente vídeo de Paul Stone:
Desafortunadamente el caso de CloudPets no es el único. Fisher Price tuvo que corregir un problema de seguridad también en un muñeco de peluche conectado. El Smart Toy Beard.
Este juguete tenía una vulnerabilidad que podía permitir que datos personales sobre los niños que usan el juguete pudiesen ser robados. Muchas veces los hackers usan estos datos para hacer ataques phishing, ya que muchas contraseñas de los padres suelen tener que ver con información sobre sus hijos.
Las compañías que diseñan y comercializan juguetes conectados están siendo cada vez más conscientes de la importancia de incluir la seguridad como un aspecto clave del diseño del producto. Estoy seguro que los juguetes que vendrán en el futuro tendrán mucho más en cuenta la seguridad. Los escándalos tienen la parte positiva de que provocan que todos seamos más conscientes de aspectos que pueden traernos problemas.
Juguetes conectados sí, ¡Pero seguros!
El problema es, básicamente, que los números no salen. Para un escándalo que puede suceder, es más barato dejarlo abierto y ahorrar costes. Los financieros saben mucho de esto.
Mientras la propuesta de valor de los juguetes no sea irrechazable, la seguridad será un lastre para el desarrollo del IoT.
Por cierto, queremos más artículos realmente PIRATAS 😉