De la tercera revolución industrial al Internet de las cosas: los ordenadores dominan el mundo, los gobiernos espían a sus ciudadanos y las redes sociales y los smartphones ordenan la vida de más de la mitad de la población mundial. Las cosas incluyen juguetes inteligentes, dispositivos armados con cámara, micrófono y conexión wifi, muy alejados de aquellos mini ordenadores portátiles con figuras en blanco y negro pixeladas que enseñaban a los niños a repetir nombres de cosas.
Aquello eran los 90, cuando Internet era precario y funcionaba con un módem a 56kbps. Ese panorama cambió con la llegada de una tecnología wifi más rápida, más cómoda... y potencialmente más insegura. Un informe de Rapid7 publicado el pasado martes por TechCrunch revelaba que un inocente oso de peluche fabricado por Fisher Price podría haber comprometido los datos de millones de niños. Datos como su nombre, edad o nacionalidad.
Los peluches de la multinacional, cuya matriz es Mattel, no son los primeros “juguetes inteligentes” en presentar vulnerabilidades. Pero ¿cómo de inteligentes son? Aunque la compañía asegura que no tiene constancia de que los datos hayan sido robados por ningún hacker, sí asumen que la información podía ser robada en la Red, por lo que ya han solucionado el fallo. Desde eldiario.es nos hemos puesto en contacto con Fisher Price España y tampoco tenían constancia de este hecho, aunque aseguran que “ese juguete no se vende en nuestro país y no está previsto que se comercialice”.
Cosas con agujeros
La moraleja: el Internet de las Cosas es peligroso. Probablemente sea idílico y magnífico tener cada aparato de la casa conectado a la Red, pero olvidamos que, a mayor número de conexiones, más agujeros. Partimos de la base de que cualquier dispositivo conectado a Internet es susceptible de ser hackeado, pero caemos sistemáticamente en el error de pensar que, si no somos famosos, ricos o importantes, nadie se tomaría la molestia. Y probablemente nadie quiera. Eso no quita que un día nuestro hijo sea uno de esos 200.000 niños cuya foto se encontraba en los servidores de VTech.
Hablamos de cómo el pasado noviembre un hacker consiguió entrar en los servidores del fabricante de juguetes chino VTech, robando datos de más de cinco millones de padres y 200.000 niños. La empresa, cuyos beneficios rondan los 2.000 millones de dólares anuales, fabrica vigilabebés, tablets y teléfonos para niños, entre otras cosas. Demasiado poco ocurrió ya que el atacante decidió tan solo publicar los datos en abierto, sin ánimo de vender la información a ninguna empresa para lucrarse con ella.
No todo son osos; la muñeca Cayla o la archiconocida Barbie también se han visto envueltas en la polémica en el pasado. Tanto la una como la otra eran juguetes que respondían a preguntas realizadas por los niños. En el caso de la primera, un investigador de la firma Pen Test demostró que el software de la muñeca podía ser hackeado para que esta dijera casi cualquier cosa. Por su parte, el juguete de Mattel fue rebautizada como “La Barbie Vigilante”, llegando incluso a organizarse una campaña desde ciertos sectores para impedir su comercialización. Algunos abogados especialistas en temas de ciberseguridad llegaron a deicr que “los niños que hablan a la Hello Barbie [su nombre comercial] no le están hablando a una muñeca, sino a una multinacional llamada Mattel cuyo único interés es el financiero”.
Ambas muñecas dependían de una conexión wifi para funcionar. Los osos inteligentes de Fisher Price están conectados a Internet para ofrecer al niño actividades personalizadas y fomentar su aprendizaje. También incluyen un sistema combinado de voz e imagen para reconocer la voz del niño. Todos esos datos se alojan en la web del producto, que es donde radica el problema.
Osos que no verificaban datos
La API -la plataforma web- de los peluches inteligentes no verificaba correctamente los mensajes que le llegaban desde los peluches. Básicamente: no comprobaba si los paquetes eran enviados desde un peluche, un ordenador, una tablet o un móvil en Bangkok, pudiendo dar lugar a que cualquiera de los tres dispositivos anteriores estuviese siendo manejado por un hacker. El atacante podría haberse hecho con datos de los niños, como su edad, su nacionalidad o su género; y podría haber creado cuentas falsas en la API, borrarlas o modificarlas.
El informe de Rapid7, aunque fue publicado el martes, relata una investigación llevada a cabo en noviembre del año pasado. La consultora se puso en contacto con la empresa estadounidense y el fallo fue solventado. Aunque los datos susceptibles de ser robados quizá no tengan una importancia capital -más allá de la fecha de nacimiento y el nombre del niño-, lo más inquietante de todo es que el Internet de las Cosas volverá a hacer de las suyas antes o después. Y si no, al tiempo.