Un extraño en el juguete de tu hijo

Nuevos estudios alertan de los peligros que ocultan los muñecos que se conectan a las redes wifi: recopilan datos, se conectan a la cámara de vídeo... todo a espaldas de los padres.

La escena nos ha ocurrido a todos: nos encontramos con algún amigo, un familiar que nos quiere enviar fotos. Activamos Bluetooth en el móvil, buscamos el dispositivo, nos damos aprobación mutua y hecho. Habitualmente, cuando hacemos esto aparecen diferentes dispositivos conectados, pero nunca podemos acceder a ellos porque habría que pedir autorización. El pequeño problema es que ahora, en lugar de aparecer una tablet o un smartphone, lo que puede conectarse es el juguete de un niño de cuatro años. Un dispositivo que cuenta no solo con Bluetooth, sino también con cámara, altavoces y micrófono. Y basta un poco de osadía y algo de conocimientos para que cualquiera en un radio de 30 metros comience a hablar con el pequeño.

Así lo afirma un reciente informe del grupo de consumidores Which y Stiftung Warentest de Alemania, quienes han encontrado fallos en la conexión wifi y Bluetooth de diferentes juguetes.

De los 7 dispositivos evaluados a lo largo de 12 meses (por diferentes firmas de seguridad), se descubrieron fallos en Furby Connect, i-Que Intelligent Robot, Toy-Fi Teddy y CloudPets. Según el informe «si la conexión Bluetooth o wifi no era segura, es decir, si no era necesario tener una clave de acceso u otro método de autentificación de usuario, se precisaban pocos conocimientos para acceder al juguete».

¿Y qué se podía hacer una vez conectado? Depende de las propiedades de cada uno de los dispositivos, pero Which logró reproducir en uno de los juguetes una cinta de audio a distancia, un archivo que podría ser una canción o cualquier contenido poco apropiado para un menor. Pero hay más. El informe también señala que existe la posibilidad de convertir el juguete en un dispositivo para escuchar lo que ocurre alrededor de él: «Una de las firmas de seguridad contratadas, Context IS, señala que es posible que alguien con conocimientos modificara el firmware (conjunto de instrucciones de un programa informático) debido a una vulnerabilidad diferente en el diseño, una que no publicaremos, precisamente por cuestiones de seguridad».

Con otro de los juguetes, un robot, el fallo se centraba en la aplicación: cualquiera que se la descargara podía saber dónde había uno y usar un teclado para enviar mensajes que el juguete repetía con su voz mecánica. Los fallos, en la mayoría de los casos, residían en la vulnerabilidad de las conexiones, unas brechas que permitían que alguien, desde fuera y en un radio de hasta 30 metros, pudiera enviar mensajes, hacer que el juguete hablara u oír conversaciones.

Si bien es cierto que todo esto se llevó a cabo en un entorno de laboratorio y fue realizado por expertos en seguridad, la realidad es que el veredicto señala que todo lo mencionado es factible.

Un estudio realizado por la Comisión Europea, revela que el 90% de los ciudadanos de la UE persiguen una mayor privacidad en sus conexiones a redes. Si hablamos exclusivamente de España, este porcentaje se eleva al 97%. Pero hay un obstáculo: según estudios publicados por las consultoras Kantar Worldpanel y Deloitte, dos tercios de los españoles no saben cómo configurar las prestaciones de privacidad en un móvil y, si se trata de juguetes o «wearables», la cifra roza los tres tercios.

Por increíble que parezca, cuando compramos uno de estos juguetes conectados, estamos «firmando un contrato»: aceptamos las condiciones de uso de red del fabricante. Esto quiere decir que toda la información generada por el robot, muñeca de peluche o ser de otro planeta, no solo puede llegar de vuelta a la fábrica (con propósito de mejorar el dispositivo, supuestamente), sino también puede enviarse a terceros...

La Agencia Española de Protección de Datos (Aepd) recomienda revisar la política de privacidad para consultar qué permisos estamos concediendo y a quién. Muchos juguetes piden un registro on-line para obtener más beneficios o funciones adicionales. Allí debería figurar qué hacen con esa información. También es obligación del fabricante explicar de modo claro cómo configurar el producto para cambiar la contraseña que viene de fábrica (si es que trae una). Y eso es algo que los consumidores rara vez buscamos y, menos aún, que exigimos.

Esto es particularmente importante. Muchos de estos juguetes no sólo se usan en casa, también se «llevan de paseo» y los pequeños piden conectarlos a redes públicas, cuya seguridad no siempre es alta... vamos que a menudo deja mucho que desear.

Esto se puede resolver fácilmente configurando las redes a las que puede tener acceso el bendito juguete y explicando claramente a su propietario que del mismo modo que no dejamos abierta la puerta de casa, tampoco dejamos que el osito, el robot o el astronauta que corresponda, se conecte con cualquier red.

Los juguetes conectados serán una de las estrellas de estas fiestas y pese a que nadie lee la política de seguridad de los susodichos, hay que tener en cuenta que estamos dejando a nuestros hijos con dispositivos que se conectan a internet y tienen una cámara o un sistema de emisión y recepción de mensajes. Con los más pequeños, hasta 5 años, puede ser complejo explicarles los mecanismos de seguridad, pero con los mayores, puede convertirse en un juego interesante y al mismo tiempo educativo, mostrarles lo que se puede hacer y por qué debe importarles la seguridad digital.