El escándalo de los juguetes espía

Un ataque a la compañía Vtech, reconocido por la propia empresa e investigado por la Justicia de EEUU, ha comprometido datos de más de 6,3 millones de niños y de casi cinco millones de padres, entre ellos correos electrónicos, nombres, direcciones postales e incluso imágenes de menores.

Si bien los números no alcanzan las dimensiones del hackeo a Ashley Madison, el hecho de que sean juguetes conectados a la red pone en grave riesgo la privacidad de los menores de edad. El ataque ha afectado a tres plataformas de la compañía: Learning Lodge, Kid Connect y PlanetVTech.

La brecha de seguridad, que fue descubierta en primer lugar por el sitio especializado Motherboard, ha dejado al descubierto datos personales de de 6.368.509 niños -nombres, género y fecha de cumpleaños- y 4.854.209 cuentas de usuarios adultos o padres, reconocía la compañía esta semana. De estas cuentas, 138.847 afectan a niños y 115.155 a adultos en España. 

Según Reuters, fiscales de Connecticut e Illinois en EEUU ya están investigando esta filtración.

La empresa, con sede en Hong Kong, confirmó el pasado fin de semana la intrusión en sus sistemas y la sustracción de datos de su plataforma Learning Lodge, desde donde los usuarios pueden descargarse aplicaciones, juegos educativos, e-books y otros contenidos relacionados con los productos de VTech. La empresa se apresuró a subrayar que la información expuesta no incluye números de tarjeta de crédito ni datos identificativos como números de identidad, de la Seguridad Social o de permisos de conducir.

Asimismo, Vtech reconoció que también se había visto comprometido su servicio PlanetVTech, en donde se limita a mencionar que hay 235.708 cuentas de padres y 227.705 perfiles de niños. 

En una nota adicional enviada el lunes, VTech indicaba que ha cerrado temporalmente Learning Lodge, Kid Connect y las direcciones de varios de sus sitios web en todo el mundo - como Planetvtech.es en España- para "reforzar" su seguridad.

Filtración masiva

Se trata de la cuarta mayor filtración de datos de consumidores hasta la fecha, según el sitio web "I have Been Pwned", en donde cualquier usuario puede comprobar si su identidad ha sido comprometida.

El creador de esta página de referencia, el desarrollador de seguridad de Microsoft Troy Hunt, ha comentado a EL ESPAÑOL que "es una violación de datos muy seria debido precisamente a que aparecen menores". "No había visto un incidente de esta magnitud hasta la fecha y que afecte a un grupo tan vulnerable como nuestros hijos", reconoce este experto.

La filtración no sólo incluye datos, sino imágenes de menores. También Motherboard informa de que los intrusos robaron fotos y registros de foros del servicio Kid Connect, que permite a adultos usar una aplicación en el teléfono para hablar con los niños que usan la tableta de VTech.

"Todavía es pronto para hacer valoraciones al respecto, al no tener apenas información sobre el tipo de ataque", comenta Pablo Teijeira, director general de la compañía Sophos Iberia, quien pone el acento en "la falta de medidas de seguridad avanzada, como podría ser el cifrado, lo que dificultaría este tipo de acciones".

Empresas como VTech claramente no se están tomando la seguridad y la privacidad en serio

De hecho, todas las comunicaciones estaban sin cifrar, incluidas las contraseñas, los detalles de los padres y la información de sus hijos, que la compañía solicitaba vía formulario para registrar sus productos.

Por su parte, Hunt remarca que "la mayoría de los sitios web están muy mal protegidos, no importa si se trata de sitios orientados a niños o no". "Es un problema importante en nuestra industria", asegura, y añade: "Empresas como VTech claramente no se están tomando la seguridad y la privacidad en serio".

Para este experto, es lamentable "lo poco que pueden hacer ahora los preocupados padres", para quienes “el mejor consejo es ser muy conscientes en el futuro de que cualquier información personal que introduzcan en un sistema electrónico sobre un miembro de la familia puede convertirse algún día en algo público debido a un incidente como éste”.

¿Una Barbie espía?

Cada vez son más quienes se preocupan por posibles problemas de seguridad en juguetes, más y más sofisticados y conectados a la Red. Una de las últimas polémicas la protagonizó Barbie, la muñeca más emblemática de Mattel. Se trata de una versión del conocido maniquí llamado Hello Barbie con conexión WiFi y capaz de responder a las preguntas de sus jóvenes propietarios mediante un sistema parecido a Siri de Apple, Cortana de Microsoft o Now de Google. Es uno de los lanzamientos estrella de la compañía juguetera para estas navidades en EEUU.

Ya desde su presentación, algunos expertos criticaron la facilidad con la que se podía hackear el micrófono de la muñeca, con el peligro que podía suponer tener un "espía" semejante en el cuarto de juegos, tal y como denunciaba en marzo un grupo que defiende un mundo sin publicidad para los menores de edad.

Ahora, según publica NBC, el investigador de seguridad estadounidense Matt Jakubowski ha logrado demostrar la relativa facilidad con la que se puede acceder al control de la muñeca a distancia, de forma que es posible extraer los nombres de las redes a las que se conecta e incluso los archivos MP3 guardados en ella.

No obstante, el consejero delegado de ToyTalk -empresa con quien colabora Mattel para desarrollar el sistema- resta importancia al hallazgo de Jakubowski. "Hay que tener en cuenta que toda esa información estaba disponible para los clientes de Hello Barbie a través de la aplicación", afirma, y concluye: "Que sepamos no se han comprometido datos de usuarios ni medidas de protección de seguridad o privacidad".

Los juguetes tecnológicos son cada vez más solicitados de cara a las navidades. Según las previsiones de la Asociación Española de Fabricantes de Juguetes (AFEJ), las muñecas y figuras de acción interactivas, así como las mascotas tecnológicas, se encuentran entre las principales tendencias este año. En España, y según datos del sector, el consumo de juguetes electrónicos -que no incluye ni las muñecas ni las figuras de acción- supuso el año pasado un 4,4% de la cuota de un mercado que facturó en total 1.104 millones de euros.