Los juguetes para niños tienen serios problemas de privacidad

Si consideramos que las regulaciones y las leyes son para salvaguardar la privacidad de los niños en particular, pensarás que los dispositivos electrónicos y los juguetes conectados para niños deben de ser particularmente seguros. En general, pensamos que la privacidad de los niños es sagrada (pues ellos, en particular, son vulnerables a anuncios, vendedores, depredadores, etc).

Con cada fuga de datos que se descubre, va quedando más claro que no podemos confiar en que los fabricantes se ocupen de nuestra seguridad o de la de nuestros hijos. Analicemos un par de ejemplos para comprender las sorpresas que nos pueden deparar los juguetes conectados.

Espionaje
En diciembre de 2016, los defensores de la privacidad presentaron una queja ante la Comisión Federal de Comercio de EE. UU. contra Genesis Toys, el productor de las muñecas Cayla y de los robots de juguete i-Que. Otro demandado fue Nuance Communications, empresa responsable de la tecnología de reconocimiento de voz que permite a los niños conversar con los juguetes:

Los demandantes lo tenían muy claro desde el principio: “Esta denuncia afecta a los juguetes que espían“.

Analicemos los aspectos de la denuncia:

• La aplicación que utilizan las muñecas Cayla para interactuar requiere permiso para acceder a archivos guardados en el dispositivo y la aplicación de i-Que pide permiso para acceder a la cámara del dispositivo. El fabricante no explica por qué las aplicaciones necesitan dichos permisos. Es más, ni en la página web oficial ni en el vídeo demo se cita el permiso para acceder a la cámara.
• Para conectarse a un smartphone o a una tableta, el juguete utiliza Bluetooth, una conexión insegura que no requiere autentificación. Además, el juguete no notifica a los usuarios cuando este se conecta al dispositivo. Esta inseguridad puede permitir al intruso no solo espiar, sino también hablar con el niño.
• Los juguetes hacen publicidad al mencionar diferentes marcas durante las conversaciones.
• La aplicación de la muñeca Cayla hace que los niños faciliten información personal identificable: nombre de los padres, lugar de residencia, nombre del colegio, etc.
• Ambas aplicaciones envían grabaciones de las conversaciones a los servidores de Nuance Communication, donde son analizadas para mejorar las respuestas. Los registros se almacenan en los servidores, de nuevo con la finalidad de mejorar el servicio.
• Los fabricantes no explican qué tipo de información recopilan de los niños.
  

La capacidad de espionaje de Genesis Toys fue causa suficiente para que los reguladores alemanes prohibieran por completo sus ventas y se urgió a los propietarios de juguetes inseguros a que se deshicieran de ellos. El gobierno alemán identifica a los juguetes de este tipo como dispositivos de vigilancia oculta, los cuales están prohibidos por ley.

En diciembre de 2016, la Oficina de Protección del consumidor de Noruega también expresó su preocupación por los problemas de privacidad de las muñecas Cayla y de los robots i-Que.

En cambio, la Asociación Británica de Vendedores de Juguetes comentó a la BBC que Cayla “no supone un riesgo especial”.

Inseguridad
En otro incidente de seguridad, la palabra “fuga” no llega a describir la magnitud de la brecha. Para ampliar la metáfora, se trató de la catastrófica rotura de una presa que causó una inundación, o puede que una avalancha, de información personal. O, para ser fastidiosamente precisos, no había presa con la que empezar.

CloudPets de Spiral Toys son animales de peluche que intercambian mensajes entre niños y padres. El juguete se conecta al smartphone de los padres mediante Bluetooth y los padres usan una aplicación especial para conectarse a él.

A los padres les parecerá un gran modo de mantener el contacto con sus hijos, pero el contenido recopilado por el sistema no estaba protegido adecuadamente. La base de datos de las credenciales de usuario no estaba para nada protegida. Cualquiera podía conectarse al servidor sin identificarse, ver la información o duplicar la base de datos para guardarla en otro ordenador.

El investigador de seguridad Victor Gevers se dio cuenta del problema y se lo notificó al fabricante el 31 de diciembre de 2016. Luego, Troy Hunt, un experto en seguridad de renombre, recibió de una fuente anónima un archivo que contenía más de medio millón de registros de los usuarios de CloudPets. Además del nombre de los niños, cada registro contenía la fecha de nacimiento y la información de los familiares con los que el niño hablaba mediante el juguete. El total de registros de CloudPets comprometidos sobrepasaba la cifra de 800,000.

Un extraño que tenga la contraseña puede descargar todos los mensajes enviados mediante el juguete. A diferencia de otra información, las contraseñas de los usuarios estaban cifradas mediante hash para protegerlas, pero los ataques de fuerza bruta pueden revelar contraseñas, en particular las fáciles.

Por desgracia, también es posible espiar conversaciones sin la contraseña. Los mensajes de las grabaciones y las fotos se almacenaban en la nube de Amazon S3. Un atacante tan solo tenía que hacer clic en un enlace de una base de datos comprometida para conseguir un archivo de audio del servidor. El número total de grabaciones disponibles era superior a 2 millones.

Por supuesto, los hackers de sombrero blanco no fueron los únicos en saber de la inseguridad. El servidor que almacenaba la información de los niños se convirtió en un desastre, se borraron copias de la base de datos y se hicieron peticiones de rescate. La base de datos terminó por caerse, aunque las copias podrían seguir por ahí.

Spiral Toys no respondió a las personas que intentaban notificarle el problema, lo que incluía a Gevers, Hunt, el informante de Hunt y al reportero Lorenzo Franceschi-Bicchierai. Luego, en marzo de 2017, el senado estadounidense solicitó a Spiral Toys que se sincerara sobre la fuga de la información y sobre sus políticas de protección de datos. Troy Hunt publicó el texto de la solicitud.

Spiral Toys terminó por responder (al fiscal general de California). DataBreaches.net publicó la respuesta. La empresa dijo que supo la existencia del incidente el 22 de febrero de la mano de Franceschi-Biccierai, quien lo supo gracias a una fuente sin nombrar. Aunque varios investigadores de seguridad trataron de ponerse en contacto con la empresa antes del 22 de febrero, Spiral Toys afirmó que nunca había recibido dichos mensajes y que estaba investigando la causa.

La fuga, apuntó Spiral Toys, fue parte de un ataque masivo a MongoDB. No afectó a mensajes ni fotos, afirmó la compañía, porque estaban almacenados en otro servidor. La base de datos comprometida no era la base de datos principal, sino una temporal que usaban los desarrolladores.

Spiral Toys también publicó un apartado de preguntas frecuentes y dio a conocer sus nuevos requisitos para crear contraseñas seguras.

Bases de datos abiertas
Otra fuga prominente incluía la base de datos de la web oficial de la empresa responsable de los juguetes Hello Kitty (3,300,000 registros de usuarios comprometidos) y la base de datos de la tienda online de VTech (5,500,000 millones de registros de usuarios y una gran cantidad de fotos de niños comprometidas). Ambos incidentes sucedieron en 2015.

El servicio CloudPets y la web de desarrolladores de Hello Kitty usaban la base de datos de MongoDB como solución de gestión, motivo por el que la prensa se hizo tanto eco después de que los hackers comprometieran (o, para ser precisos, obtuvieran todo el control) de miles de bases de datos.

Los propietarios de las bases de datos secuestradas pueden ser víctimas, pero no son inocentes. Al no requerir autenticación, MongoDB dejó las puertas abiertas a su base de datos y, al usar bases de datos abiertas, los fabricantes indicaron que no les importaba.

Por supuesto, MongoDB no es la totalidad del problema (el estado general de la seguridad requiere trabajo). Todos los esfuerzos de los reguladores, de los defensores de la privacidad y los expertos en seguridad simplemente no pueden ir a la misma velocidad de adopción de las tecnologías ni de la tendencia general de la devaluación de los datos de usuario.

Por cierto, después de comprometer a MongoDB, los hackers emprendieron ataques de sistemas de gestión de bases de datos distribuidas. Cualquier base de datos desprotegida terminará filtrada en la red y el usuario medio no podrá hacer nada al respecto. No sirve de consuelo que la fuga fuera en una base de datos temporal y auxiliar si los datos eran reales. Apagar un sistema comprometido no hace que por arte de magia los datos vuelvan a ser privados.

Consejos para padres
Ten cuidado con darle a tu hijo un juguete inteligente conectado. En particular, ten en cuenta los siguientes aspectos:

• Si el juguete envía datos a Internet. Muchos juguetes lo hacen y la tendencia también se extiende a los peluches.
• Si no puedes controlar las acciones del juguete. Al menos las muñecas Cayla tienen un indicador flash que avisa de que el micrófono está encendido. Con las aplicaciones móviles, no sabrás si lo está. Kaspersky Lab ha descubierto que el 96 % de las aplicaciones arrancan en segundo plano, aunque el usuario no las abra.
• Si el juguete tiene micrófono y cámara. No se trata solo de osos de peluche y de robots (en esta categoría se incluyen las aplicaciones móviles con permisos importantes).
• Si un juguete solicita información personal al niño.
• Si los ajustes son muy simples. Por ejemplo, una conexión Bluetooth no requiere autenticación.
  

Uno de esos puntos basta para reconsiderar el equilibrio entre la diversión que proporciona un juguete conectado y la privacidad de tu hijo.