Más juguetes conectados inseguros

La organización de consumidores alemana Stiftung Warentest alerta del riesgo que supone para el público infantil, “jugar” con alguno de estos muñecos conectados a internet: WowWee Chip, Toy-Fi Teddy, Cloudpets, Cognitoys Dino y Fisher-Price Smart Toy Bear.

De venta en España

Hemos comprobado que de todos ellos, solo WowWee Chip y Cloudpets se venden en la actualidad en nuestro país (aunque alguno de los otros juguetes también podría haber estado a la venta en meses anteriores).

• WowWee Chip. Es un perro robot que utiliza una conexión Bluetooth no segura. Puede ser controlado por otros si el smartphone de los padres no está conectado a “Chip”, el perro robot. No es necesario iniciar sesión. El perro es capaz de escuchar instrucciones e ir detrás de su pelota o de su dueño. Se envía a terceros información detallada sobre el smartphone utilizado. La aplicación para Android también transmite a terceros el número de identificación del teléfono inteligente, así como el nombre del proveedor de servicios móviles.

  App Android: CHiP - Your Lovable Robot Dog (gratuita)

  App iOS: CHiP - Your New Best Friend (gratuita)

• CloudPets. Estos peluches envían mensajes de voz de los padres a sus hijos y viceversa. Se conecta vía Bluetooth y WiFi. Cifra la contraseña en el envío, pero no hay una codificación adicional que asegure el almacenamiento cifrado de la misma, lo que hace los datos vulnerables a un ataque cibernético. Bajos requisitos de seguridad de la contraseña. Las aplicaciones recogen el cumpleaños del niño. Su app cuenta con dos versiones: una gratuita y otra de pago. La app envía a terceros datos sobre el proveedor de servicios móviles y se comunica con servicios de publicidad.

App Android: CloudPets Free (gratuita), CloudPets Premium (3,39€)

App iOS: CloudPets (4,49€)

Juguetes interactivos: cómo son y qué riesgos tienen

Se trata de muñecas, robots o mascotas interactivas que pueden acceder a internet a través de las apps asociadas que se instalan en un smartphone o tableta, necesitando algún tipo de conexión inalámbrica, WiFi o Bluetooth. La app permite disfrutar de más posibilidades y aunque jugar offline es posible, las opciones de juego se limitan. Por tanto, los riesgos son numerosos, entre ellos:

• Mensajes grabados y enviados a un servidor. Ninguna de las apps de los juguetes del estudio alemán envía información sin cifrar, tampoco captura la ubicación ni los datos de la agenda del smartphone por ejemplo. Sin embargo, los juguetes conectados interactúan o incluso se comunican con los más pequeños. Algunos integran micrófonos y los ficheros de audio grabados se envían a menudo a un servidor externo donde quedan guardados.

• Control remoto. Otro de los riesgos es que en ocasiones permiten que terceras personas puedan conectarse al juguete y controlarlo incluso sin especiales conocimientos informáticos: imagine que su pequeño salga corriendo en el parque detrás de su mascota electrónica porque otro la esté controlando.

• Contraseñas. En algunos juguetes no se solicita una contraseña y ninguna de las apps exige el uso de una contraseña robusta (con caracteres especiales o algunas mayúsculas, por ejemplo). Aunque la contraseña viaje cifrada hasta el servidor del fabricante, esto no es suficiente, si no hay una protección adicional, una vez allí este podría almacenarla directamente en forma de texto, quedando expuesta la información guardada en el caso de un ciberataque.

OCU denuncia

Nos preguntamos ¿son seguros tanto la conexión como el envío de datos? ¿qué información envían las apps y a quién? ¿es realmente necesario enviar esta información? 

Desde OCU pedimos a las autoridades españolas que investiguen los hechos y tomen todas las medidas necesarias para garantizar la seguridad y privacidad de los menores.

Aconsejamos a los padres que, hasta que no se resuelvan estos problemas, no compren este tipo de juguetes inseguros (y si ya los tienen, que procuren estar siempre presentes cuando sus hijos jueguen con ellos y se aseguren de desconectarlos al terminar de usarlos).