Cuando la realidad supera a la ficción: seguridad y privacidad en juguetes IoT

Las violaciones a la privacidad y las fallas de ciberseguridad se están volviendo demasiado comunes. Pero a pesar de ello, algunos casos son particularmente extraños, a tal punto que resultan casi increíbles. Analicemos las siguientes dos imágenes (que dicen más que dos mil palabras).

Primero, observemos la llamativa imagen de la izquierda, creada el año pasado por ESET para una infografía sobre la Internet de las cosas (IoT). La imagen muestra varias “cosas” diferentes que potencialmente podrían estar conectadas a Internet, desde un automóvil a electrodomésticos, desde wearables a un osito de peluche (y si te parece que este osito en particular se ve un poco siniestro, solo se debe a la habilidad del creador de la imagen).

La infografía en sí muestra los resultados de una encuesta que ESET llevó a cabo en octubre en Estados Unidos, junto con la Alianza Nacional de Seguridad Cibernética estadounidense. El objetivo era evaluar las actitudes de los consumidores con respecto a la IoT (como sabrás, octubre es el National Cybersecurity Awareness Month en este país). Como los resultados de la encuesta se publicaron a fin de mes, cerca de Halloween, y la serie de ciencia ficción y horror Stranger Things se había vuelto muy popular, ESET pensó que “La Internet de las cosas extrañas” sería un buen giro para poner en el título del comunicado resultante (de ahí el aspecto intencionalmente siniestro del osito).

Ahora mira la imagen de la derecha. Se trata de un juguete real, vendido en los Estados Unidos, que se conecta a Internet; a saber, un CloudPet (la marca es propiedad de la empresa Spiral Toys, de California). Este juguete, capaz de grabar, enviar y recibir mensajes de voz a través de Internet, ha llegado a las noticias últimamente, pero por todas las razones equivocadas.

En primer lugar, se encontraron cientos de miles de registros de clientes almacenados en la web, accesibles para todo el que sea lo suficientemente curioso como para buscarlos.

Luego están los dos millones de mensajes de voz grabados, muchos de los cuales son de contenido muy personal entre los niños y sus padres, que quedaron expuestos durante un largo período para cualquier persona con habilidades básicas, a pesar de las numerosas advertencias hechas a la empresa sobre este problema. El investigador de seguridad Troy Hunt lo explicó de esta forma en su extensa pero verdaderamente excelente publicación del blog:

A esta altura, es bastante obvio que varias partes identificaron la base de datos expuesta, que permaneció abierta durante un largo período de tiempo y expuso datos muy personales. Se puede asumir con certeza que muchas otras partes localizaron y luego extrajeron los mismos datos, porque hay gente que se dedica a eso. Es muy común que se busque este tipo de información, por lo que los datos (incluyendo los mensajes de audio íntimos de los niños y sus padres) seguramente ya estarán en manos de un número incontable de personas.

Troy continúa diciendo: “Pero se pone peor”, porque no solo los datos de los juguetes y sus dueños están mal manejados y mal protegidos por una empresa que no respondió a las múltiples advertencias de lo que iba a ocurrir, sino que además, como su investigación muestra: “Antes de ser eliminados, los datos de CloudPets fueron accedidos muchas veces por partes no autorizadas y luego, en múltiples ocasiones, se secuestraron para pedir un rescate”.

Y si crees que esto no puede seguir empeorando y ser tan aterrador como el osito de peluche en el gráfico de “cosas extrañas”, te equivocas. Pero antes considera este resultado de la encuesta de ESET y NCSA: “Más del 40 por ciento de los estadounidenses no cree que los dispositivos que se conectan a la IoT sean seguros, y más de la mitad de los encuestados contestó que desistió de comprar uno por miedo a la falta de seguridad cibernética”. Más específicamente, la encuesta reveló que: “El 36 por ciento de los encuestados dijeron estar muy preocupados por la privacidad y la seguridad de los niños que usan ‘juguetes inteligentes'”.

En otras palabras, las empresas desarrolladoras de dispositivos conectados a Internet ya están notando el escepticismo y la preocupación por la seguridad y la privacidad de la información personal que procesan. Ya habíamos notado antes una deficiencia en la seguridad que afectaba a los juguetes conectados, como en el caso de VTech. También escribí en ocasiones anteriores sobre los riesgos de seguridad relacionados con los dispositivos wearable y los vehículos conectados/autónomos. Y decir que los dispositivos conectados activados por la voz pueden causar efectos secundarios inesperados es claramente un eufemismo.

Lo que todas estas cosas tienen en común (además del uso de Internet) es el hecho de que demasiadas personas desarrolladoras de tecnología toman malas decisiones sobre los riesgos tecnológicos. Esas malas decisiones generan problemas, no solo para los consumidores imprudentes que compran los productos sin una protección adecuada, sino también para el ecosistema digital más amplio.

El 36% dijo estar muy preocupado por la privacidad y la seguridad de los niños que usan “juguetes inteligentes”

Piensa en el ataque masivo de denegación de servicio distribuido (DDoS) del 21 de octubre del año pasado. Ocasionó grandes pérdidas de ingresos y costos no presupuestados para cientos de empresas, y todo fue posible gracias a los dispositivos IoT sin protección. ¿Cuánto falta para que un ataque de este tipo afecte la salud de los pacientes en el mundo médico, cuyos registros de salud electrónicos están cada vez más conectados?

Y cuando uno oye hablar de dispositivos que renuncian a los secretos de sus usuarios, como lo hicieron estos ositos de peluche, inevitablemente se pregunta cuánto falta para que los temores de los pacientes respecto a la falta de privacidad por la seguridad ineficiente lleguen al punto en que directamente los hagan rechazar los dispositivos de monitoreo y tratamiento médico, lo que obstaculizaría los beneficios tan esperados de la telemedicina.

Ese día puede llegar antes de lo que piensas, porque como he dicho, la historia de CloudPets sigue empeorando. Resulta que, debido a defectos de diseño y a una mala evaluación de riesgos, estos juguetes se pueden convertir en dispositivos de espionaje, como se describe en este artículo y también aquí. Aunque muchos dirán “son solo juguetes”, no es difícil ver que una serie de casos como este podrían socavar seriamente la fe del público en la tecnología digital más crítica, un resultado con graves consecuencias económicas potenciales.

No te pierdas la infografía completa de “Internet de las cosas extrañas” y los consejos para proteger los dispositivos IoT, disponibles en inglés.

Autor Stephen Cobb, ESET

Síguenos

Últimos Cursos