La Organización de Consumidores y Usuarios ha advertido de graves fallos de seguridad en los juguetes WowWee Chip y Cloudpets, que podrían afectar a la privacidad de los niños y sus familias. Concretamente, WowWee Chip es un perro robot que utiliza una conexión Bluetooth no segura, por lo que podría ser controlado por otros a distancia. En cuanto a Cloudpets, son peluches que envían mensajes de voz de los padres a los niños y viceversa, mediante conexiones Bluetooth y Wifi que podrían ser secuestradas.

Recientemente, el Federal Bureau of Investigation de Estados Unidos ha advertido también a los consumidores respecto a “los juguetes conectados a Internet, que podrían presentar problemas de privacidad para los niños”. Las conexiones inseguras a Internet de muchos de estos juguetes pueden permitir a un intruso saber dónde están jugando los niños, qué se está diciendo en la habitación donde juegan e incluso, si se trata de una muñeca, hacerle decir lo que el intruso quiera.

La OCU ha pedido a las autoridades que investiguen a WowWee Chip y Cloudpets, muñecos que actualmente se están comercializando en España, y tomen las medidas necesarias. Avisa también en general respecto a las mascotas, robots y muñecos interactivos que pueden acceder a Internet a través de aplicaciones que se instalan en un teléfono móvil o tableta y necesitan algún tipo de conexión inalámbrica que suele ser insegura. Otra peligro es que los datos que recopilan estos muñecos se manden a servidores externos donde quedan almacenados, servidores que no siempre son lo suficientemente seguros.

El FBI advierte que “los consumidores deberían informarse del compromiso de privacidad y acuerdos sobre divulgación de información de sus usuarios que tiene la compañía que fabrica el juego, antes de comprarlo”. También deberían preguntar “dónde se almacenan los datos personales de la familia y dónde se mandan, también si se mandan a terceras empresas”.

No son estas las primeras alertas que lanzan las autoridades en Estados Unidos y Europa respecto a estos juguetes que, al haberse puesto de moda, se están fabricando a toda prisa, por parte de empresas que no están acostumbradas a tener en cuenta la seguridad informática y, muchas veces, sacrificando la privacidad a favor de la facilidad de uso del muñeco. En febrero de este año, la Agencia Federal de Redes de Alemania ordenó que se retirase del mercado la muñeca Cayla.

consolegaming-1040x440

La Organización de Consumidores y Usuarios (OCU) de España avisó también entonces contra Cayla y el robot “i-Que”, ambos a la venta en España, por sus  “graves fallos de seguridad y privacidad” . La OCU reaccionaba así tras publicarse un estudio del Consejo de Consumidores Noruego que detectaba “preocupantes fallos en torno a la seguridad y la privacidad de los menores a los que están dirigidos”.

Según este estudio, con pasos simples sería posible tomar el control de estos juguetes, que pueden hablar, grabar conversaciones y mandarlas a Internet. Esto posibilitaría que alguien escuchase estas conversaciones o hiciese hablar al muñeco sin estar en la misma habitación. Además, las conversaciones se mandan a una tercera empresa, especializada en reconocimiento de voz, que se adjudica la posibilidad de usar esta información para sus propósitos, incluída la venta de la misma sin pedir permiso.

La mayoría de juguetes que se conectan actualmente a Internet son muñecas, como Cayla , con una conexión Bluetooth insegura que puede ser fácilmente interceptada para espiar las conversaciones de los niños. O como Hello Barbie , que fue la primera de este estilo y a la que se detectaron múltiples agujeros de seguridad.

Además, estos juguetes suelen pedir al niño o niña que introduzca en una aplicación datos personales como su nombre, quiénes son sus padres, dónde vive, gustos y otros datos que pueden ser interceptados por un atacante. Al muñeco “Smart Toy” de Fisher Price se le detectaron problemas parecidos, pero en este caso la compañia los solucionó con celeridad. Vtech vio cómo robaban sus bases de datos donde había información personal (nombres, fechas de cumpleaños, lugar de residencia e incluso fotos) de más de 6 millones de niños.

Según la Confederación de Consumidores y Usuarios (CECU), el 53% de consumidores desconocen las normas de seguridad que deben cumplir los juguetes. Estos son los consejos del FBI:

  1. Buscar en Internet posibles incidentes de seguridad relacionados con el juguete y fabricante.
  1. Asegurarse de que el muñeco usa una contraseña o un PIN para conectarse vía Bluetooth, y que los datos que manda por wifi e Internet van cifrados.
  1. Asegurarse de que el muñeco recibirá actualizaciones de seguridad y que lleva instalada la última versión del software.
  1. Preguntar al vendedor:
    • ¿Si la empresa sufre un ciberataque o se descubren fallos de seguridad, lo notificará a sus clientes?
    • ¿Dónde guardará la empresa los datos que recoge el muñeco y quién tendrá acceso a los mismos?
    • ¿Si la empresa hace cambios en su politica de privacidad lo notificará a los clientes?
    • ¿Tiene la compañía una dirección de contacto para responder a dudas de sus clientes?
  1. Asegurarse de que el juguete está apagado, especialmente los micrófonos y cámaras, cuando no se está usando. Algunos juguetes tienen un indicador flash que indica que el micrófono está encendido, pero con las aplicaciones móviles no sabrás si lo está. Kaspersky Lab ha descubierto que el 96% de las aplicaciones arrancan en segundo plano, aunque el usuario no las abra.

Comparte este post en redes sociales