La muñeca My Friend Cayla y el robot i-Que presentan preocupantes fallos de seguridad y ponen en riesgo la privacidad de los menores, según un estudio del Consejo de Consumidores Noruego (Forbrukerradet) del que ayer se hizo eco la Organización de Consumidores y Usuarios (OCU) y que, en países como Holanda y Bélgica, ya ha provocado que algunos comerciantes comiencen a retirar esos juguetes de sus tiendas.

Cayla es una muñeca interactiva que da conversación y responde al niño en tiempo real con información que saca de la enciclopedia Wikipedia, y el robot i-Que cuenta chistes, y hace y responde preguntas de todo tipo.

Los consumidores han comprobado que, con pasos muy simples, cualquiera puede tomar el control de los juguetes para hablar con los menores y grabar sus conversaciones sin ni siquiera tener acceso físico al producto. En el caso de Cayla, uno puede conectarse desde el móvil vía wifi o bluetooth, a 20 metros de distancia, sin activar nada en la muñeca para que se emparejen los dispositivos y con solo elegir un nombre que resulta previsible y está sin codificar. El año pasado Cayla ya se hizo famosa cuando un programa de la BBC demostró su vulnerabilidad pirateando el programa interno para que la muñeca dijera todo tipo de improperios.

El Consejo de Consumidores Noruego también ha comprobado que cualquier cosa que el menor diga a la muñeca se transfiere a la compañía estadounidense Nuance Communications, especializada en tecnologías de reconocimiento de voz, reservándose esta empresa el derecho de usar esa información con terceros y para diversos propósitos. Entre las condiciones que tiene que aceptar el usuario para poder jugar con los juguetes figura que sus datos pueden utilizarse para publicidad y pueden ser compartidos con terceros no identificados.

¿Publicidad encubierta?

Además, según las organizaciones de consumidores, los juguetes tienen preprogramadas frases en las que publicitan diferentes productos comerciales. Cayla, por ejemplo, comenta en su diálogos lo mucho que le gustan las películas de Disney, estudios con los que el proveedor de la aplicación tiene acuerdos comerciales.

Todas estas circunstancias han hecho que el martes se presentaran quejas formales ante las autoridades comerciales de Estados Unidos y de la Unión Europea. En la remitida a la Comisión Federal de Comercio estadounidense se denuncian los fallos en seguridad, pero también que la empresa fabricante no obtiene el consentimiento de los padres antes de recoger las grabaciones de voz y otros datos personales de los niños mientras juegan. En Bélgica, Holanda, Irlanda, Grecia, Suecia, Francia, Noruega las asociaciones de consumidores han pedido que Cayla e i-Que se retiren, y algunos comerciantes belgas y holandeses ya lo han hecho.

Vulnerabilidad del internet de las cosas

Ignacio Heras, responsable de comunicación de la firma de soluciones de seguridad G Data en España, asegura que el problema de los juguetes conectados a Internet es el mismo que presentan millones de artículos del llamado internet de las cosas, desde coches a neveras, pasando por televisores, cafeteras, cámaras o pulseras de actividad: “se han desarrollado pensando en su funcionalidad pero sin tener en cuenta su seguridad, y por eso son fácilmente atacables”.

La advertencia

Cualquier aparato conectado a internet es susceptible de ser hackeado

Subraya que cualquier dispositivo que se conecte a internet es objetivo de la industria de la ciberdelincuencia y que el ataque tenga éxito o no dependerá al final de si el aparato está o no protegido. “Todo lo que se conecta a internet es atacable; lo que ocurre es que en el caso de los ordenadores, como la industria ya sabe que serán diana de la ciberdelincuencia, vienen protegidos, los programas que se desarrollan son seguros y los fabricantes van sacando parches de seguridad cuando detectan fallos, y eso no ocurre con otro tipo de dispositivos del internet de las cosas”, indica Heras. Por ello opina que la mejora de la seguridad de los juguetes conectados está en el tejado de los fabricantes, que deben incorporar la protección y la seguridad al diseño de sus artículos y resolver rápidamente con actualizaciones los problemas que se vayan detectando.

Medidas de protección

La firma Sophos Iberia, especializada en seguridad de redes, aconseja a los padres adoptar algunas medidas para aumentar el nivel de seguridad de los juguetes o de cualquier otro dispositivo conectado internet:

1. Conocer cómo interactúa el juguete con internet, su configuración y opciones de privacidad

2. Cambiar las contraseñas predeterminadas

3. Controlar el perfil de usuario del niño y quienes son sus amigos virtuales

4. Revisar los chats

5. Controlar la edad recomendada, también en los juegos de móvil

6.Configurar los medios de pago para que haya que facilitar una contraseña (que no conoce el niño) al confirmar un pago

7. Mantener actualizado el software para que incorpore los parches de seguridad tan pronto estén disponibles

8. Recordar que cualquier aparato conectado a internet es susceptible de ser hackeado

Fuente: http://ow.ly/kcAi306WvuN