Si consideramos que las regulaciones y las leyes son para salvaguardar la privacidad de los niños en particular, pensarás que los dispositivos electrónicos y los juguetes conectados para niños deben de ser particularmente seguros. En general, pensamos que la privacidad de los niños es sagrada (pues ellos, en particular, son vulnerables a anuncios, vendedores, depredadores, etc). Con cada fuga de datos que se descubre, va quedando más claro que no podemos confiar en que los fabricantes se ocupen de nuestra seguridad o de la de nuestros hijos. Analicemos un par de ejemplos para comprender las sorpresas que nos pueden deparar los juguetes conectados. Espionaje En diciembre de 2016, los defensores de la privacidad presentaron una queja ante la Comisión Federal de Comercio de EE. UU. contra Genesis Toys, el productor de las muñecas Cayla y de los robots de juguete i-Que. Otro demandado fue Nuance Communications, empresa responsable de la tecnología de reconocimiento de voz que permite a los niños conversar con los juguetes: Los demandantes lo tenían muy claro desde el principio: “Esta denuncia afecta a los juguetes que espían“. Analicemos los aspectos de la denuncia:
La capacidad de espionaje de Genesis Toys fue causa suficiente para que los reguladores alemanes prohibieran por completo sus ventas y se urgió a los propietarios de juguetes inseguros a que se deshicieran de ellos. El gobierno alemán identifica a los juguetes de este tipo como dispositivos de vigilancia oculta, los cuales están prohibidos por ley. En diciembre de 2016, la Oficina de Protección del consumidor de Noruega también expresó su preocupación por los problemas de privacidad de las muñecas Cayla y de los robots i-Que. En cambio, la Asociación Británica de Vendedores de Juguetes comentó a la BBC que Cayla “no supone un riesgo especial”.
Inseguridad En otro incidente de seguridad, la palabra “fuga” no llega a describir la magnitud de la brecha. Para ampliar la metáfora, se trató de la catastrófica rotura de una presa que causó una inundación, o puede que una avalancha, de información personal. O, para ser fastidiosamente precisos, no había presa con la que empezar. CloudPets de Spiral Toys son animales de peluche que intercambian mensajes entre niños y padres. El juguete se conecta al smartphone de los padres mediante Bluetooth y los padres usan una aplicación especial para conectarse a él. A los padres les parecerá un gran modo de mantener el contacto con sus hijos, pero el contenido recopilado por el sistema no estaba protegido adecuadamente. La base de datos de las credenciales de usuario no estaba para nada protegida. Cualquiera podía conectarse al servidor sin identificarse, ver la información o duplicar la base de datos para guardarla en otro ordenador. El investigador de seguridad Victor Gevers se dio cuenta del problema y se lo notificó al fabricante el 31 de diciembre de 2016. Luego, Troy Hunt, un experto en seguridad de renombre, recibió de una fuente anónima un archivo que contenía más de medio millón de registros de los usuarios de CloudPets. Además del nombre de los niños, cada registro contenía la fecha de nacimiento y la información de los familiares con los que el niño hablaba mediante el juguete. El total de registros de CloudPets comprometidos sobrepasaba la cifra de 800,000. Un extraño que tenga la contraseña puede descargar todos los mensajes enviados mediante el juguete. A diferencia de otra información, las contraseñas de los usuarios estaban cifradas mediante hash para protegerlas, pero los ataques de fuerza bruta pueden revelar contraseñas, en particular las fáciles. Por desgracia, también es posible espiar conversaciones sin la contraseña. Los mensajes de las grabaciones y las fotos se almacenaban en la nube de Amazon S3. Un atacante tan solo tenía que hacer clic en un enlace de una base de datos comprometida para conseguir un archivo de audio del servidor. El número total de grabaciones disponibles era superior a 2 millones. Por supuesto, los hackers de sombrero blanco no fueron los únicos en saber de la inseguridad. El servidor que almacenaba la información de los niños se convirtió en un desastre, se borraron copias de la base de datos y se hicieron peticiones de rescate. La base de datos terminó por caerse, aunque las copias podrían seguir por ahí. Spiral Toys no respondió a las personas que intentaban notificarle el problema, lo que incluía a Gevers, Hunt, el informante de Hunt y al reportero Lorenzo Franceschi-Bicchierai. Luego, en marzo de 2017, el senado estadounidense solicitó a Spiral Toys que se sincerara sobre la fuga de la información y sobre sus políticas de protección de datos. Troy Hunt publicó el texto de la solicitud. Spiral Toys terminó por responder (al fiscal general de California). DataBreaches.net publicó la respuesta. La empresa dijo que supo la existencia del incidente el 22 de febrero de la mano de Franceschi-Biccierai, quien lo supo gracias a una fuente sin nombrar. Aunque varios investigadores de seguridad trataron de ponerse en contacto con la empresa antes del 22 de febrero, Spiral Toys afirmó que nunca había recibido dichos mensajes y que estaba investigando la causa. La fuga, apuntó Spiral Toys, fue parte de un ataque masivo a MongoDB. No afectó a mensajes ni fotos, afirmó la compañía, porque estaban almacenados en otro servidor. La base de datos comprometida no era la base de datos principal, sino una temporal que usaban los desarrolladores. Spiral Toys también publicó un apartado de preguntas frecuentes y dio a conocer sus nuevos requisitos para crear contraseñas seguras. Bases de datos abiertas Otra fuga prominente incluía la base de datos de la web oficial de la empresa responsable de los juguetes Hello Kitty (3,300,000 registros de usuarios comprometidos) y la base de datos de la tienda online de VTech (5,500,000 millones de registros de usuarios y una gran cantidad de fotos de niños comprometidas). Ambos incidentes sucedieron en 2015. El servicio CloudPets y la web de desarrolladores de Hello Kitty usaban la base de datos de MongoDB como solución de gestión, motivo por el que la prensa se hizo tanto eco después de que los hackers comprometieran (o, para ser precisos, obtuvieran todo el control) de miles de bases de datos. Los propietarios de las bases de datos secuestradas pueden ser víctimas, pero no son inocentes. Al no requerir autenticación, MongoDB dejó las puertas abiertas a su base de datos y, al usar bases de datos abiertas, los fabricantes indicaron que no les importaba. Por supuesto, MongoDB no es la totalidad del problema (el estado general de la seguridad requiere trabajo). Todos los esfuerzos de los reguladores, de los defensores de la privacidad y los expertos en seguridad simplemente no pueden ir a la misma velocidad de adopción de las tecnologías ni de la tendencia general de la devaluación de los datos de usuario. Por cierto, después de comprometer a MongoDB, los hackers emprendieron ataques de sistemas de gestión de bases de datos distribuidas. Cualquier base de datos desprotegida terminará filtrada en la red y el usuario medio no podrá hacer nada al respecto. No sirve de consuelo que la fuga fuera en una base de datos temporal y auxiliar si los datos eran reales. Apagar un sistema comprometido no hace que por arte de magia los datos vuelvan a ser privados. Consejos para padres Ten cuidado con darle a tu hijo un juguete inteligente conectado. En particular, ten en cuenta los siguientes aspectos:
0 Comentarios
Tu comentario se publicará una vez que se apruebe.
Deja una respuesta. |
AutorHUMEDAL INFORMATIK Archivos
Mayo 2021
Categorías
Todos
|