Los 'juguetes inteligentes' se han convertido en una herramienta cada vez más popular tanto para educar a los niños como para entretenerlos. Sin embargo, recientes hallazgos realizados por la empresa de ciberseguridad Kaspersky han revelado importantes vulnerabilidades de ciberseguridad en juguetes educativos.
De hecho, una investigación realizada por sus expertos en un popular modelo de robot educativo que definen como un híbrido entre smartphone/tableta y altavoz inteligente sobre ruedas (del que han revelado varios datos técnicos, pero no su nombre) muestran cómo esta clase de dispositivos pueden convertirse en un riesgo para los más pequeños.
¿Qué podían hacer los atacantes con el robot?
"Como ya debes haber adivinado, todo está conectado a Internet y emplea un montón de servicios en la nube", empiezan explicando los investigadores, porque el origen de todos los problemas se encontraba ahí. Pero, ¿qué descubrieron exactamente?
- Los atacantes podían realizar videollamadas a cualquier robot de este modelo, ya fuera intentando adivinar el ID de un robot específico o jugando a la ruleta y llamando a ID aleatorios.
- Cualquiera que contase con el ID de un robot podía obtener mucha información personal del servidor: dirección IP, país de residencia, nombre del niño, sexo y edad, junto con los detalles de la cuenta de los padres (dirección de correo electrónico de los padres, número de teléfono y el código que vincula la aplicación parental al robot).
"Esto, a su vez, creó la oportunidad de un ataque mucho más peligroso: el secuestro completo de la cuenta de los padres. [...] Solo se hubiera necesitado un clic para desvincular el robot de la cuenta verdadera de los padres. Lo siguiente habría sido vincularlo a la cuenta del atacante".
- También había problemas de seguridad con el proceso de actualización del software: al no venir firmada la actualización, cualquiera podía cargar firmware malicioso que permitiera al atacante ejecutar comandos arbitrarios con permisos de superusuario en todos los robots.
"En teoría, los atacantes habrían podido asumir el control sobre los movimientos del robot, usar las cámaras y los micrófonos incorporados para espiar, hacer llamadas a los robots, etc".
Reaccionando a las vulnerabilidades
Afortunadamente, Kaspersky notificó estos descubrimientos a los desarrolladores del juguete en cuestión, lo que desembocó en una rápida resolución de los errores de seguridad identificados. La compañía nos recuerda algo muy importante en lo que respecta a la gestión de vulnerabilidades:
"El mero descubrimiento de vulnerabilidades en un dispositivo no lo hace inferior: se pueden encontrar problemas en cualquier lugar. Lo que debes buscar es la respuesta del proveedor: es un buen indicio si se ha solucionado algún problema. No es bueno que al proveedor no le importe".
Este incidente, por otro lado, sirve como un recordatorio de los riesgos persistentes asociados con esta y otras clases de dispositivos inteligentes. Para protegerse contra posibles amenazas, se recomienda:
- Leer atentamente las reseñas de los usuarios antes de comprar un nuevo dispositivo.
- Ser cautelosos a la hora de conceder permisos a las aplicaciones móviles sincronizadas con el dispositivo en cuestión.
- Para evitar que te espíen o escuchen a través de tus dispositivos inteligentes, apagarlos cuando no los estés usando y cerrar el obturador o tapar la cámara.
Vía | Kaspersky
Imagen | Marcos Merino mediante IA
En 3DJuegos | Conectan un Furby a ChatGPT y revela el plan secreto de estos juguetes para conquistar el mundo