Un oso de peluche expone en Internet dos millones de conversaciones entre padres e hijos

Son perros, gatos, osos, elefantes e incluso unicornios. Los peluches de la marca Cloud Pets están pensados para que el niño no se sienta solo nunca: gracias a una aplicación para el móvil, los padres pueden grabar su voz y reproducirla a través del peluche. Como el muñeco no distingue entre las palabras de un adulto y un menor, los pequeños también pueden grabarse y escucharse después, como si el animal hablase.

Parece divertido, pero no lo es tanto si tenemos en cuenta que más de dos millones de estas grabaciones circulan por Internet. Les acompañan 820.000 credenciales, los datos que los padres y madres utilizan para acceder a la app desde su smartphone y que incluyen nombre, apellidos, direcciones de correo, número de teléfono o nombre del niño.

Se ha dado cuenta Troy Hunt, una de las eminencias mundiales en cuestión de ciberseguridad. Las credenciales de los padres se almacenaban en una base de datos MongoDB protegida por bcrypt, un software de cifrado. Sin embargo, un gran número de ellas (millones) eran tan débiles que era muy fácil crackearlas. Antes que Hunt, fueron muchos los que se dieron cuenta de la escasa seguridad de las contraseñas, así que el analista solo tuvo que buscar la base de datos en Shodan (un buscador que encuentra servidores y webs con escasa seguridad, normalmente de objetos conectados al Internet de las Cosas) y hacer diana.

Las contraseñas, a pesar de estar cifradas, eran inseguras. Y es que por mucho que se utilice un software de cifrado, si lo que vamos a encriptar es “123456” o “password”, no le llevará mucho tiempo a un profesional hacerse con los datos.

Aunque Hunt no sabe desde cuándo están los 820.000 credenciales al aire, sitúa las pasadas navidades como punto de inicio. La base de datos estaba mal configurada y mal protegida en el dominio que comunicaba directamente la app del móvil con los servidores de la compañía. Así que todas las conexiones que se realizaban a través del puerto 2701 entraban a la base de datos sin ningún tipo de autenticación previa.

Contraseñas de una letra

Para que el peluche hable es necesario descargarse una app en el teléfono. Después hay que crearse una cuenta y en último lugar hay que emparejar al muñeco con el dispositivo. La comunicación se realiza a través de una web de Spiral Toys, la compañía propietaria de Cloud Pets, que a su vez opera bajo un dominio de una empresa rumana llamada mReady. Es a esta web a la que en última instancia se conecta la app, la misma que contiene la base de datos MongoDB y que a su vez almacenaba los 2,2 millones de grabaciones o las fotos de perfil de las cuentas de los padres y sus hijos en un servidor de Amazon Cloud.

La base de datos de MongoDB contenía otras dos bases de datos, cada una con cerca de 10 gigabytes de información. Spiral Toys no ponía ningún tipo de requisito para crear la contraseña de la cuenta en la app, así que estas podían contener un carácter, dos, tres o veinticinco, llegado el caso.

Que puedan ser tan cortas es fatal, ya que si alguien quiere atacar una base de datos, tan solo le basta con utilizar una base de datos de contraseñas habituales. De hecho, desde finales del año pasado hasta la mitad de enero (el tiempo que la brecha de seguridad ha estado abierta) han entrado dos investigadores en ciberseguridad e incontables hackers, según Hunt. Todos han podido bajarse los más de dos millones de grabaciones y las cerca de 820.000 credenciales de un solo golpe de ratón.

eldiario.es se ha intentado poner en contacto con la compañía. Mientras que el email de contacto que figura en la web de Cloud Pets está roto, desde Spiral Toys aseguran estar llevando a cabo una investigación interna. “Invalidamos inmediatamente todas las contraseñas de nuestros clientes para asegurarnos de que no se pueda acceder a esa información”, explica Harold Chizick, un representante de la compañía. “Hasta donde sabemos, no podemos detectar ninguna brecha en nuestros mensajes ni en las imágenes ya que todos los datos estaban cifrados”, continúa Chizick. Spiral Toys también ha pedido a sus clientes que aumenten la seguridad de sus contraseñas.

Por su parte, Hunt contactó con la compañía en numerosas ocasiones para preguntar si tenían constancia de que su base de datos fue borrada y secuestrada con ransomware varias veces, también por si sabían que los hackers que lo hicieron les pedían un bitcoin para restaurarla. Pero le han hecho caso omiso.

Ha sido este lunes cuando Spiral Toys (que por cierto se encuentra en bancarrota), a través de su consejero delegado, Mark Myers, ha hablado. “De ninguna forma fueron robadas las grabaciones”, dice. Algo de lo que Hunt duda. El directivo también asegura no haber tenido constancia de los avisos de Hunt ni de otros expertos en ciberseguridad, pero lo cierto es que tanto él como sus colegas llevan intentando contactar con la compañía desde las navidades del año pasado.

En El Corte Inglés por 20 euros

En España, los Cloud Pets se venden en El Corte Inglés por algo menos de 20 euros. También están disponibles a través de Amazon. Desde la OCU (Organización de Consumidores y Usuarios), al igual que en el caso de la muñeca Cayla (que fue prohibida en Alemania hace una semana) piden que “las autoridades europeas investiguen los hechos y tomen todas las medidas necesarias para garantizar la seguridad y la privacidad de los menores”. Además, también recomiendan a los padres no comprar este tipo de juguetes.

Hace un año, eldiario.es ya informó de unos osos de peluche de Fisher Price que habían expuesto los datos de los niños en Internet, aunque el caso más sonado se remonta a noviembre de 2015, cuando más de 200.000 pequeños y cinco millones de padres vieron cómo un hacker denunciaba las pésimas medidas seguridad de los servidores de la marca de juguetes VTech.

Nota al pie: este artículo ha sido actualizado tras su publicación para incluir las declaraciones de Harold Chizick, representante de Spiral Toys.