Una vez que los hackers han entrado, pueden utilizar las cámaras y los micrófonos de los juguetes para ver y escuchar lo que el juguete ve y escucha

Por: Sheera Frenkel 29 diciembre, 2017

Mi amiga Cayla, una muñeca con cabello dorado que casi le llega a la cintura y responde a las preguntas de los niños, fue diseñada para llevar alegría a los hogares. Pero hay algo más que Cayla podría llevarles también: hackers y ladrones de identidades.

A principios de este año, la Agencia de la Red Federal de Alemania, la oficina reguladora del país, dijo que Cayla era “un aparato ilegal de espionaje” y les recomendó a los padres que la destruyeran.

A los minoristas del país les dijeron que podrían vender la muñeca solo si desactivaban la función de conectarla a internet, algo que también permite la entrada de hackers. Además, el Consejo del Consumidor de Noruega dijo que Cayla era un “juguete fallido”.

La muñeca no es la única. Conforme la temporada de compras navideñas llega a sus últimos y frenéticos días, muchos fabricantes están promoviendo juguetes “conectados” para mantener interesados a los niños.

Los compradores también pueden encontrar relojes inteligentes para los niños, un androide de las películas recientes de “Star Wars” y un pequeño Furby peludo. Estos dispositivos pueden conectarse a internet para interactuar: la muñeca Cayla puede susurrarles a los niños en varios idiomas que es muy buena para guardar secretos, mientras que un muñeco Furby Connect puede responder las sonrisas y reírse cuando le hacen cosquillas.

Sin embargo, en cuanto algo aparece en línea, está potencialmente expuesto a hackers, quienes buscan debilidades para obtener acceso a los dispositivos digitalmente conectados.

Entonces, una vez que los hackers han entrado, pueden utilizar las cámaras y los micrófonos de los juguetes para ver y escuchar lo que el juguete ve y escucha. Como resultado, de acuerdo con expertos en seguridad, los juguetes pueden encenderse para espiar a los más pequeños o rastrear su ubicación.

“Los padres deben estar conscientes de lo que están comprando y llevando a casa para sus hijos”, dijo Javvad Malik, un investigador de la empresa de ciberseguridad AlienVault. “Muchos de estos dispositivos conectados a internet tienen maneras triviales de eludir la seguridad, así que las personas deben estar conscientes de lo que compran y qué tan seguro es”.

El problema no es nuevo, pero está creciendo conforme los fabricantes introducen un rango más amplio de juguetes que pueden conectarse a internet, parte de una tendencia generalizada de electrónicos “inteligentes”.

Cerca de 8.400 millones de “objetos conectados” estarán en uso en todo el mundo este año, según cálculos de la firma de investigación Gartner, un aumento del 31% en comparación con 2016, y se proyecta que el número ascienda a 20.400 millones para 2020.

Sarah Jamie Lewis, una investigadora independiente de ciberseguridad que probó juguetes antes de la temporada navideña, dijo que muchos de los productos no tomaban medidas básicas para asegurarse de que sus comunicaciones fueran seguras y de que la información de los niños quedara protegida. Dijo que los juguetes funcionan como “dispositivos espías sin control” debido a que los fabricantes no incluyeron un proceso que solo permita al aparato conectarse a internet a través de ciertos dispositivos confiables.

Veamos el Furby Connect de Hasbro, por ejemplo, un dispositivo peludo con forma de huevo que viene en color azul, rosa o púrpura. Los investigadores de Which?, una organización de beneficencia británica, y el grupo alemán para el consumidor Stiftung Warentest hace poco encontraron que la función Bluetooth del Furby Connect podría permitir que cualquiera dentro de un radio de 30 metros secuestre la conexión y la utilice para encender el micrófono y hablarles a los niños.

También está el Q50, un reloj inteligente para niños. Anunciado como una manera de ayudar a los padres a comunicarse fácilmente con sus hijos y seguirles el rastro, algunos errores en el reloj podrían permitir que los hackers “intercepten todas las comunicaciones, escuchen remotamente el entorno de un niño y obtengan su ubicación”, de acuerdo con un informe de Top10VPN, una empresa de investigación del consumidor, publicado este mes.

Y el androide BB-8, que se lanzó con “The Last Jedi” este mes, también tenía una conexión Bluetooth insegura, de acuerdo con las pruebas de Lewis.

SinoPro, el fabricante chino del reloj Q50, y Genesis, el fabricante de la muñeca Cayla, no respondieron a peticiones para hacer comentarios. Sphero, el fabricante del androide conectado BB-8, dijo que el juguete está “asegurado de manera adecuada”. Hasbro dijo que el Furby Connect cumple con la Ley estadounidense de Protección de la Privacidad de los Niños en Línea, y que contrató a evaluadores externos para que realizaran pruebas de seguridad con el juguete y la aplicación.

Para los padres que quieren cumplir con la lista de deseos estas fiestas, el primer paso es conocer los riesgos relacionados con los juguetes conectados a internet.

A principios de este año, el FBI emitió una advertencia general acerca de este tipo de juguetes, y les aconsejó a los padres que pusieran mucha atención a la manera en que un juguete se conecta a internet.

Si un juguete se conecta inalámbricamente a través de Bluetooth, debe requerir algún tipo de contraseña o clave única, para asegurarse de que la conexión es segura.

El FBI también recomendó que los juguetes conectados puedan actualizarse mediante los fabricantes para que estén al día. Y si el juguete almacena datos, los padres deben investigar dónde se guardan y con cuánta seguridad la empresa almacena los datos de sus clientes.

En una tienda Target, este mes en Emeryville, California, Sarah Lee, de 37 años y madre de tres, dijo que estaba reconsiderando sus elecciones de regalos para sus hijos después de escuchar acerca de los riesgos de los juguetes conectados.

“Es aterrador. No tenía idea de que fuera posible”, dijo. “¿Qué es lo peor que pueden hacer los hackers? No, no me digan. Prefiero comprarles un muñeco tradicional a mis hijos”.