{"id":10405,"date":"2017-04-17T14:57:05","date_gmt":"2017-04-17T14:57:05","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=10405"},"modified":"2020-06-30T16:30:41","modified_gmt":"2020-06-30T14:30:41","slug":"kids-devices-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/kids-devices-vulnerabilities\/10405\/","title":{"rendered":"Los juguetes para ni\u00f1os tienen serios problemas de privacidad"},"content":{"rendered":"<p>Si consideramos que las regulaciones y las leyes son para salvaguardar la privacidad de los ni\u00f1os en particular, pensar\u00e1s que los dispositivos electr\u00f3nicos y los juguetes conectados para ni\u00f1os deben de ser particularmente seguros. En general, pensamos que la privacidad de los ni\u00f1os es sagrada (pues ellos, en particular, son vulnerables a anuncios, vendedores, depredadores, etc).<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/04\/05220713\/kids-data-leaks-featured.jpg<\/p>\n<p>Con cada fuga de datos que se descubre, va quedando m\u00e1s claro que no podemos confiar en que los fabricantes se ocupen de nuestra seguridad o de la de nuestros hijos. Analicemos un par de ejemplos para comprender las sorpresas que nos pueden deparar los juguetes conectados.<\/p>\n<h2>Espionaje<\/h2>\n<p>En diciembre de 2016, los defensores de la privacidad <a href=\"http:\/\/https\/\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">presentaron una queja ante la Comisi\u00f3n Federal de Comercio de EE. UU.<\/a> contra Genesis Toys, el productor de las <a href=\"https:\/\/www.kaspersky.es\/blog\/my-friend-cayla-risks\/10112\/\" target=\"_blank\" rel=\"noopener\">mu\u00f1ecas Cayla<\/a> y de los robots de juguete i-Que. Otro demandado fue Nuance Communications, empresa responsable de la tecnolog\u00eda de reconocimiento de voz que permite a los ni\u00f1os conversar con los juguetes:<\/p>\n<p>Los demandantes lo ten\u00edan muy claro desde el principio: \u201c<a href=\"https:\/\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Esta denuncia afecta a los juguetes que esp\u00edan<\/a>\u201c.<\/p>\n<p>Analicemos los aspectos de la denuncia:<\/p>\n<ul>\n<li>La aplicaci\u00f3n que utilizan las mu\u00f1ecas Cayla para interactuar requiere permiso para acceder a archivos guardados en el dispositivo y la aplicaci\u00f3n de i-Que pide permiso para acceder a la c\u00e1mara del dispositivo. El fabricante no explica por qu\u00e9 las aplicaciones necesitan dichos permisos. Es m\u00e1s, ni en la p\u00e1gina web oficial ni en el v\u00eddeo demo se cita el permiso para acceder a la c\u00e1mara.<\/li>\n<li>Para conectarse a un <i>smartphone<\/i> o a una tableta, el juguete utiliza Bluetooth, una conexi\u00f3n insegura que no requiere autentificaci\u00f3n. Adem\u00e1s, el juguete no notifica a los usuarios cuando este se conecta al dispositivo. Esta inseguridad puede permitir al intruso no solo espiar, sino tambi\u00e9n hablar con el ni\u00f1o.<\/li>\n<li>Los juguetes hacen publicidad al mencionar diferentes marcas durante las conversaciones.<\/li>\n<li>La aplicaci\u00f3n de la mu\u00f1eca Cayla hace que los ni\u00f1os faciliten informaci\u00f3n personal identificable: nombre de los padres, lugar de residencia, nombre del colegio, etc.<\/li>\n<li>Ambas aplicaciones env\u00edan grabaciones de las conversaciones a los servidores de Nuance Communication, donde son analizadas para mejorar las respuestas. Los registros se almacenan en los servidores, de nuevo con la finalidad de mejorar el servicio.<\/li>\n<li>Los fabricantes no explican qu\u00e9 tipo de informaci\u00f3n recopilan de los ni\u00f1os.<\/li>\n<\/ul>\n<p>La capacidad de espionaje de Genesis Toys fue causa suficiente para que los reguladores alemanes prohibieran por completo sus ventas y se urgi\u00f3 a los propietarios de juguetes inseguros a que <a href=\"https:\/\/www.kaspersky.es\/blog\/my-friend-cayla-risks\/10112\/\" target=\"_blank\" rel=\"noopener\">se deshicieran de ellos<\/a>. El gobierno alem\u00e1n identifica a los juguetes de este tipo como dispositivos de vigilancia oculta, los cuales est\u00e1n prohibidos por ley.<\/p>\n<p>En diciembre de 2016, la Oficina de Protecci\u00f3n del consumidor de Noruega <a href=\"https:\/\/fil.forbrukerradet.no\/wp-content\/uploads\/2016\/12\/complaint-dpa-co.pdf\" target=\"_blank\" rel=\"noopener nofollow\">tambi\u00e9n expres\u00f3 su preocupaci\u00f3n<\/a> por los problemas de privacidad de las mu\u00f1ecas Cayla y de los robots i-Que.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/lAOj0H5c6Yc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>En cambio, la Asociaci\u00f3n Brit\u00e1nica de Vendedores de Juguetes <a href=\"http:\/\/www.bbc.com\/news\/world-europe-39002142\" target=\"_blank\" rel=\"noopener nofollow\">coment\u00f3 a la BBC<\/a> que Cayla \u201cno supone un riesgo especial\u201d.<\/p>\n<h3>Inseguridad<\/h3>\n<p>En otro incidente de seguridad, la palabra \u201cfuga\u201d no llega a describir la magnitud de la brecha. Para ampliar la met\u00e1fora, se trat\u00f3 de la catastr\u00f3fica rotura de una presa que caus\u00f3 una inundaci\u00f3n, o puede que una avalancha, de informaci\u00f3n personal.<\/p>\n<p>CloudPets de Spiral Toys son animales de peluche que intercambian mensajes entre ni\u00f1os y padres. El juguete se conecta al <i>smartphone<\/i> de los padres mediante Bluetooth y los padres usan una aplicaci\u00f3n especial para conectarse a \u00e9l.<\/p>\n<p>A los padres les parecer\u00e1 un gran modo de mantener el contacto con sus hijos, pero el contenido recopilado por el sistema no estaba protegido adecuadamente. La base de datos de las credenciales de usuario no estaba para nada protegida. Cualquiera pod\u00eda conectarse al servidor sin identificarse, ver la informaci\u00f3n o duplicar la base de datos para guardarla en otro ordenador.<\/p>\n<p>El investigador de seguridad Victor Gevers se dio cuenta del problema y se lo notific\u00f3 al fabricante el 31 de diciembre de 2016. Luego, Troy Hunt, un experto en seguridad de renombre, recibi\u00f3 de una fuente an\u00f3nima un archivo que conten\u00eda <a href=\"https:\/\/www.troyhunt.com\/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages\/\" target=\"_blank\" rel=\"noopener nofollow\">m\u00e1s de medio mill\u00f3n de registros de los usuarios<\/a> de CloudPets. Adem\u00e1s del nombre de los ni\u00f1os, cada registro conten\u00eda la fecha de nacimiento y la informaci\u00f3n de los familiares con los que el ni\u00f1o hablaba mediante el juguete. El total de registros de CloudPets comprometidos sobrepasaba la cifra de 800.000.<\/p>\n<p>Un extra\u00f1o que tenga la contrase\u00f1a puede descargar todos los mensajes enviados mediante el juguete. A diferencia de otra informaci\u00f3n, las contrase\u00f1as de los usuarios estaban cifradas mediante <i>hash<\/i> para protegerlas, pero los ataques de fuerza bruta pueden revelar contrase\u00f1as, en particular las f\u00e1ciles.<\/p>\n<p>Por desgracia, tambi\u00e9n es posible espiar conversaciones sin la contrase\u00f1a. Los mensajes de las grabaciones y las fotos se almacenaban en la nube de Amazon S3. Un atacante tan solo ten\u00eda que hacer clic en un enlace de una base de datos comprometida para conseguir un archivo de audio del servidor. El n\u00famero total de grabaciones disponibles era superior a 2 millones.<\/p>\n<p>Por supuesto, los <i>hackers<\/i> de sombrero blanco no fueron los \u00fanicos en saber de la inseguridad. El servidor que almacenaba la informaci\u00f3n de los ni\u00f1os se convirti\u00f3 en un desastre, se borraron copias de la base de datos y se hicieron peticiones de rescate. La base de datos termin\u00f3 por caerse, aunque las copias podr\u00edan seguir por ah\u00ed.<\/p>\n<p>Spiral Toys no respondi\u00f3 a las personas que intentaban notificarle el problema, lo que inclu\u00eda a Gevers, Hunt, el informante de Hunt y al reportero Lorenzo Franceschi-Bicchierai. Luego, en marzo de 2017, el senado estadounidense solicit\u00f3 a Spiral Toys que se sincerara sobre la fuga de la informaci\u00f3n y sobre sus pol\u00edticas de protecci\u00f3n de datos. Troy Hunt <a href=\"http:\/\/files.troyhunt.com\/03.07.17%20BN%20Letter%20to%20Spiral%20Toys%20re%20Data%20Breach.pdf\" target=\"_blank\" rel=\"noopener nofollow\">public\u00f3<\/a> el texto de la solicitud.<\/p>\n<p>Spiral Toys termin\u00f3 por responder (al fiscal general de California). DataBreaches.net <a href=\"https:\/\/www.databreaches.net\/spiral-toys-sends-something-to-the-california-attorney-general-but-what-is-it\/\" target=\"_blank\" rel=\"noopener nofollow\">public\u00f3 la respuesta<\/a>. La empresa dijo que supo la existencia del incidente el 22 de febrero de la mano de Franceschi-Biccierai, quien lo supo gracias a una fuente sin nombrar. Aunque varios investigadores de seguridad trataron de ponerse en contacto con la empresa antes del 22 de febrero, Spiral Toys afirm\u00f3 que nunca hab\u00eda recibido dichos mensajes y que estaba investigando la causa.<\/p>\n<p>La fuga, apunt\u00f3 Spiral Toys, fue parte de un ataque masivo a MongoDB. No afect\u00f3 a mensajes ni fotos, afirm\u00f3 la compa\u00f1\u00eda, porque estaban almacenados en otro servidor. La base de datos comprometida no era la base de datos principal, sino una temporal que usaban los desarrolladores.<\/p>\n<p>Spiral Toys tambi\u00e9n public\u00f3 <a href=\"https:\/\/cloudpets.zendesk.com\/hc\/en-us\/articles\/115003696948-CloudPets-Data-Breach-FAQs\" target=\"_blank\" rel=\"noopener nofollow\">un apartado de preguntas frecuentes<\/a> y dio a conocer sus nuevos requisitos para crear contrase\u00f1as seguras.<\/p>\n<h3>Bases de datos abiertas<\/h3>\n<p>Otra fuga prominente inclu\u00eda la base de datos de <a href=\"https:\/\/www.kaspersky.es\/blog\/hello-kitty-hacked\/7403\/\" target=\"_blank\" rel=\"noopener\">la web oficial de la empresa responsable de los juguetes Hello Kitty<\/a> (3.300.000 registros de usuarios comprometidos) y <a href=\"https:\/\/www.kaspersky.es\/blog\/vtech-toys-hacked\/7310\/\" target=\"_blank\" rel=\"noopener\">la base de datos de la tienda <i>online<\/i> de VTech<\/a> (5.500.000 millones de registros de usuarios y una gran cantidad de fotos de ni\u00f1os comprometidas). Ambos incidentes sucedieron en 2015.<\/p>\n<p>El servicio CloudPets y la web de desarrolladores de Hello Kitty usaban la base de datos de MongoDB como soluci\u00f3n de gesti\u00f3n, motivo por el que la prensa se hizo tanto eco despu\u00e9s de que los <em>hackers<\/em> comprometieran (o, para ser precisos, obtuvieran todo el control) de miles de bases de datos.<\/p>\n<p>Los propietarios de las bases de datos secuestradas pueden ser v\u00edctimas, pero no son inocentes. Al no requerir autenticaci\u00f3n, MongoDB dej\u00f3 las puertas abiertas a su base de datos y, al usar bases de datos abiertas, los fabricantes indicaron que no les importaba.<\/p>\n<p>Por supuesto, MongoDB no es la totalidad del problema (el estado general de la seguridad requiere trabajo). Todos los esfuerzos de los reguladores, de los defensores de la privacidad y los expertos en seguridad simplemente no pueden ir a la misma velocidad de adopci\u00f3n de las tecnolog\u00edas ni de la tendencia general de la devaluaci\u00f3n de los datos de usuario.<\/p>\n<p>Por cierto, despu\u00e9s de comprometer a MongoDB, los <i>hackers<\/i> emprendieron ataques de sistemas de gesti\u00f3n de bases de datos distribuidas. Cualquier base de datos desprotegida <i>terminar\u00e1<\/i> filtrada en la red y el usuario medio no podr\u00e1 hacer nada al respecto. No sirve de consuelo que la fuga fuera en una base de datos temporal y auxiliar si los datos eran reales. Apagar un sistema comprometido no hace que por arte de magia los datos vuelvan a ser privados.<\/p>\n<h2>Consejos para padres<\/h2>\n<p>Ten cuidado con darle a tu hijo un juguete inteligente conectado. En particular, ten en cuenta los siguientes aspectos:<\/p>\n<ul>\n<li><b>Si el juguete env\u00eda datos a Internet.<\/b> Muchos juguetes lo hacen y la tendencia tambi\u00e9n se extiende a los peluches.<\/li>\n<li><b>Si no puedes controlar las acciones del juguete.<\/b> Al menos las mu\u00f1ecas Cayla tienen un indicador flash que avisa de que el micr\u00f3fono est\u00e1 encendido. Con las aplicaciones m\u00f3viles, no sabr\u00e1s si lo est\u00e1. Kaspersky Lab ha descubierto que el 96 % de las aplicaciones arrancan en segundo plano, <a href=\"https:\/\/www.kaspersky.es\/blog\/secret-life-of-apps\/10220\/\" target=\"_blank\" rel=\"noopener\">aunque el usuario no las abra<\/a>.<\/li>\n<li><b>Si el juguete tiene micr\u00f3fono y c\u00e1mara.<\/b> No se trata solo de osos de peluche y de robots (en esta categor\u00eda se incluyen las aplicaciones m\u00f3viles con <a href=\"https:\/\/www.kaspersky.es\/blog\/android-permissions-guide\/10042\/\" target=\"_blank\" rel=\"noopener\">permisos importantes<\/a>).<\/li>\n<li><b>Si un juguete solicita informaci\u00f3n personal al ni\u00f1o.<\/b><\/li>\n<li><b>Si los ajustes son muy simples.<\/b> Por ejemplo, una conexi\u00f3n Bluetooth no requiere autenticaci\u00f3n.<\/li>\n<\/ul>\n<p>Uno de esos puntos basta para reconsiderar el equilibrio entre la diversi\u00f3n que proporciona un juguete conectado y la privacidad de tu hijo.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfCrees que los juguetes conectados para ni\u00f1os son m\u00e1s seguros que los de adultos? Vu\u00e9lvelo a pensar.<\/p>\n","protected":false},"author":2049,"featured_media":10406,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,10,1124],"tags":[323,2208,1820,1053,2160,591,220,61,1217],"class_list":{"0":"post-10405","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"category-privacy","10":"tag-consejos","11":"tag-educar-ninos","12":"tag-filtrado","13":"tag-hackeo","14":"tag-juguetes","15":"tag-ninos","16":"tag-privacidad","17":"tag-seguridad","18":"tag-servicios-online"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kids-devices-vulnerabilities\/10405\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kids-devices-vulnerabilities\/11038\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kids-devices-vulnerabilities\/9092\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kids-devices-vulnerabilities\/10144\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kids-devices-vulnerabilities\/14574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kids-devices-vulnerabilities\/6948\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kids-devices-vulnerabilities\/9100\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kids-devices-vulnerabilities\/6611\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kids-devices-vulnerabilities\/10074\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/kids-devices-vulnerabilities\/15313\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kids-devices-vulnerabilities\/14679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ninos\/","name":"ni\u00f1os"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/10405","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2049"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=10405"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/10405\/revisions"}],"predecessor-version":[{"id":23359,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/10405\/revisions\/23359"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/10406"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=10405"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=10405"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=10405"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}