El Internet de las Cosas hace que cada vez más dispositivos, como juguetes, puedan estar conectados a Internet de manera que estos puedan aprovecharse del potencial de la red para brindar funciones y características que, de otra manera, serían totalmente impensables. El problema del IoT en los juguetes llega cuando las compañías recopilan datos de los niños y no los protegen adecuadamente, tal como le ha ocurrido a la empresa CloudPets.

Hace algunas horas se daba a conocer un ataque informático contra CloudPets, un juguete capaz de conectarse a Internet a través de Android y iOS con el fin de poder intercambiar mensajes de voz entre amigos. Además, gracias al micrófono incluido en el juguete, los niños pueden enviar mensajes a sus padres o madres, así como a la inversa, facilitando la comunicación cuando los padres no pueden estar cerca. Todos estos mensajes se almacenaban en los servidores de la compañía, sin cifrar ni proteger de ninguna manera y, como era de esperar, al final ha ocurrido lo inevitable.

CloudPets almacenaba las grabaciones de los menores en un servidor sin autenticación

Un ataque informático, del cual aún no se conocen muchos datos, ha conseguido robar más de dos millones de grabaciones de voz, junto a una serie de datos sobre los menores registrados en la plataforma. Según se cree, este robo ha podido ser posible debido a que la compañía responsable de CloudPets utilizaba una base de datos MongoDB mal configurada.

Esta base de datos utilizaba el puerto 2701 en su correspondiente dirección IP y, al intentar conectarse a ella, no pedía ningún tipo de autenticación. Esta base de datos contenía enlaces a las grabaciones, en formato WAV, sin cifrar, de los menores y sus padres en un servidor Amazon Cloud, de nuevo sin autenticación. Un sencillo script ha conseguido descargar más de dos millones de grabaciones con las conversaciones familiares y privadas de los menores.

El pirata informático responsable de este robo de datos pide un rescate a la compañía a cambio de no hacerlos público. De todas formas, este rescate no tiene demasiado valor, ya que el servidor ha estado abierto desde sus inicios, por lo que cualquier otra persona puede haber entrado, descargado los datos y salido sin dejar una sola pista.

Troy Hunt, responsable de la plataforma HaveIBeenPwned, ya ha subido a su base de datos este robo, confirmando así que los dos millones de grabaciones corresponden en total a más de 800.000 cuentas diferentes.

Los juguetes conectados a la nube son muy peligros. Estamos hablando de niños menores

No es la primera vez que se expone la seguridad de los menores por culpa de una mala configuración de los juguetes conectados al Internet de las Cosas. Sin ir más lejos, a finales de 2015 pudimos ver cómo se filtraban cerca de 200 Gb de fotos de menores utilizando juguetes de la marca V-Tech.

Además, no solo los juguetes están poniendo en peligro a los menores. Hoy en día es muy frecuente que las familias tengan monitores de bebé conectados a la red, monitores generalmente mal configurados y que aparecen listados en la plataforma Shodan, pudiendo cualquiera conectarse a ellos sin dificultad.

Sin duda, un ataque informático muy grave que podía haberse evitado simplemente habilitando la opción de “No permitir conexiones anónimas” en la configuración por defecto de MongoDB.

¿Qué opinas sobre los Smart Juguetes, el Internet de las Cosas y los peligros que ello supone para los menores?