Sólo el 57% de los juguetes conectados a internet supera los estándares de seguridad del Instituto Nacional de Ciberseguridad (Incibe). Y uno de cada cinco presenta vulnerabilidades que facilitan que sea hackeado. Así se desprende del análisis realizado por el Incibe sobre la seguridad de los 26 juguetes conectados más vendidos en el mercado.
En su informe -presentado hoy en León por el ministro de Transformación Digital y Función Pública, Óscar López-, los expertos en ciberseguridad explican que realizaron un total de 364 pruebas, en la mitad de las cuales el resultado fue favorable, en una cuarta parte no se pudieron obtener certezas por falta de datos o de documentación técnica pública, y en una quinta parte se evidenciaron debilidades importantes como para dar un veredicto de desfavorable.
Los resultados
Seis de los dispositivos más vendidos suponen “un riesgo directo para los usuarios”
Sin dar nombres, los autores advierten que seis de los dispositivos analizados (que forman parte de los 26 más comprados) “no cumplen los requisitos mínimos de ciberseguridad; suponen un riesgo directo para los usuarios y para el ecosistema conectado (red wifi y aparatos conectados en el hogar), y podrían convertirse en puntos de entrada para ciberataques”.
En el otro extremo, cinco dispositivos obtuvieron el visto bueno en el 75% de las pruebas tanto por diseño como por transparencia, tratamiento de datos y medidas de seguridad robustas.
Los juguetes con conexión a internet pueden ser la vía de entrada a la red wifi familiar y al hackeo de otros dispositivos domésticos
Los expertos del Incibe han evaluado ocho áreas clave dividiendo los juguetes según su tecnología de conexión (bluetooth, wifi o aplicación móvil) y superficies de exposición (el tipo de datos que comparte).
Se han analizado desde las vulnerabilidades hasta las medidas de seguridad en las comunicaciones y en la recolección de datos, pasando por los mecanismos de actualización y su periodicidad, la integridad del firmware (el programa de funcionamiento interno), la protección frente a accesos no autorizados, el nivel de protección en las aplicaciones móviles asociadas o la robustez de los métodos de verificación de la identidad del usuario. Y concluyen que las áreas más críticas, con más carencias, son las relativas a los métodos de autenticación y la seguridad del firmware .
Apuntan que en algunos productos hay configuraciones por defecto que pueden permitir la transmisión insegura de datos sensibles como contraseñas, y también uso de tecnologías obsoletas que hacen que esos dispositivos sean vulnerables a ataques bien documentados, y estándares inadecuados conforme a futuras normas.
Las recomendaciones
De ahí que el informe incluya una serie de recomendaciones tanto para los fabricantes como par las familias. A los primeros se les insta a implementar ya medidas para el cumplimiento de la Ley de Ciberresiliencia europea, a pensar en la ciberseguridad desde el momento del diseño del producto (por ejemplo evitando servicios o protocolos innecesarios para minimizar opciones de ataque), a reforzar los sistemas de cifrado para los datos y facilitar que el usuario pueda revisarlos o eliminarlos fácilmente, a establecer procedimientos fáciles para corregir vulnerabilidades y a diseñar guías del usuario para configurar la privacidad y seguridad fáciles de entender.
A las familias, se les aconseja cambiar las contraseñas que vienen de fábrica, usar redes wifi de confianza, actualizar el software, apagar los juguetes cuando no se usan, tapar u orientar las cámaras, comprobar si el juguete tiene certificación de ciberseguridad y revisar la privacidad.
“Cuanto mejor se conozcan los juguetes, mejor se puede proteger a los menores”, enfatizó López al presentar el estudio del Incibe, el primero que se realiza en Europa conforme a los criterios de la Ley de Ciberresiliencia (CRA) de la UE, que acaba de entrar en vigor aunque ofrece un periodo transitorio de tres años para que fabricantes y distribuciones adapten todos los productos que comercializan en Europa.
