Noticia

Juguetes conectados, juguetes peligrosos

20 diciembre 2017
Juguetes conectados wifi

Los juguetes conectados empiezan a llenar las estanterías de juguetes del mercado español. Pero a pesar de ser enormemente atractivos para los niños porque se manejan desde la app de su móvil, estos juguetes con wifi propia sin contraseña y cámara, provocan riesgos intolerables para la seguridad y privacidad de los menores y su entorno.

Los juguetes conectados están dirigidos a menores de edad para que jueguen y puedan controlarlos desde una aplicación de móvil. Y les encanta. Claro, pueden manejar el juguete a su antojo, interactuar y lograr situaciones divertidas y entretenidas.

Lo que puede que no sepan, y es importante, es que algunos de estos juguetes cuentan con wifi propia a la que es posible acceder sin contraseña. Y esto en según qué manos puede resultar peligroso.

 

Analizamos los riesgos

Para conocer el riesgo, OCU ha analizado en colaboración con la Asociación Española de Ciberseguridad y Privacidad, el ISMS Forum, los problemas de seguridad y privacidad de 5 juguetes que se manejan desde el móvil. 

Teksta perro Robot 4G

 

Teksta perro Robot 4G (+5años) 

Es una mascota interactiva que responde a tu voz y al movimiento de tu mano. Es capaz de sentarse, caminar, dar volteretas y mover partes de su cuerpo como la cabeza, la cola o los ojos. Responde a los sonidos pero no dispone de conexión wifi y tampoco de bluetooth, sino que se conecta por ultrasonidos a la app del teléfono, desde la que puedes modificar ciertos aspectos de su configuración. Es el único que no necesita de su app para funcionar correctamente. No hemos encontrado ninguna vulnerabilidad en su funcionamiento.

Minion MIP turbo dave

Minion MIP turbo dave (+8años)

 

Es tu minion personal, capaz de hablar e interactuar contigo y además ser teledirigido desde una app que deberás descargarte en tu móvil. Para jugar, el móvil se conecta al robot vía bluetooth pero no te pide contraseña alguna. Aunque esto nos resulta inaceptable, el juguete no genera peligro ni para el niño ni su entorno, ya que el alcance del bluetooth es de apenas unos pocos metros dentro de una misma habitación.

BB8

 

BB8 (+8años) 

Es un droide de Star Wars que se mueve según las órdenes que se le dé desde una aplicación descargada en tu móvil. Tiene la opción de poner en modo patrulla para que él solo explore de forma autónoma y también permite reproducir mensajes grabados por ti mismo en modo “holograma”, haciendo uso de la realidad aumentada a través del teléfono.

De nuevo es decepcionante que, para jugar, la app se conecta al juguete a través de bluetooth y no pide ninguna contraseña, pero los escasos metros de alcance que permite el bluetooth, evita que haya problemas de seguridad. No obstante, su app para móvil pide nada menos que 18 permisos para ser instalada y a nuestro juicio no todos ellos son necesarios para el funcionamiento del juguete, como la identidad del teléfono, los contactos, la localización o información sobre el identificador de llamada entre otros.

¿Para qué tantos datos personales?

Lo curioso es que además hemos podido comprobar que manda información a servidores de terceros como data.flurry, que es uno de los mayores agregadores de datos online. OCU tiene una campaña llamada "Mis datos son míos" que pretende exigir a los principales agentes del mercado que asuman el compromiso de compartir de forma justa los beneficios que obtienen con tus datos, #misdatosomios. 

RovoSpy

RovoSpy (+14años)

Se trata de un robot espía con forma de tanque y que de nuevo se dirige desde el móvil. Como tiene cámara y micrófono incorporado puede grabar todo lo que esté a su alcance (audio y vídeo) incluso a oscuras gracias a su visión nocturna. El peligro se encuentra en que para conectarse al teléfono crea una red wifi a la que se accede sin protección. 

No te pide ni usuario ni contraseña por lo que una tercera persona puede conectarse y tomar el control del robot si quisiera, grabando imágenes o conversaciones o incluso hasta ver las ya grabadas en su archivo.

Jumping Race Jett

Jumping Race Jett de Parrot (+14 años)

 

Es un minidrón diseñado para hacer carreras que permite dar saltos y girar 360º sobre sí mismo mientras graba lo que está a su alcance gracias a la cámara que tiene incorporada. También crea su propia wifi pero tampoco te pide contraseña para conectarte desde la app. Es decir, que cualquier persona con ciertos conocimientos y con malas intenciones podría manejar el dron, dirigirlo donde quiera y grabar situaciones embarazosas. Y no solo esto, también podría acceder al histórico de los vídeos y curiosear.

Es posible acceder a sus servidores y ver la localización de todos los Parrot de cualquier lugar del mundo, por lo que sería relativamente fácil buscar uno de estos juguetes en el mapa, ir a esa ubicación, conectarse a esa red (la red wifi tiene un alcance mucho mayor, que incluso traspasa paredes y se puede amplificar con el dispositivo adecuado) tomar el control del robot, y hacer fotos y vídeos dentro de una casa.

Pero es que además, la app para el móvil pide 20 permisos cuando el Rovospy es un robot con prácticamente las mismas funciones y solo pide 7 permisos. Entre ellos pide información que a nuestro juicio no necesita para su funcionamiento como los contactos de tu teléfono, acceso al bluetooth cuando el dispositivo es wifi, identidad del teléfono o compras dentro de la app en una app destinada a menores.

Denunciamos dos juguetes inseguros

En OCU hemos denunciado ante la AECOSAN que los juguetes Jumping Race Jett de Parrot y Rovospy de Juguetrónica presentan defectos de seguridad. 

Nuestros análisis demuestran fallos en la seguridad y privacidad de estos dos juguetes con graves riesgos para los menores y su entorno. En OCU creemos que estos problemas se podrían evitar si los fabricantes se hubieran preocupado de adoptar algunas medidas mínimas de seguridad, como proteger las conexiones con una contraseña, que cualquier dato personal o el contenido multimedia enviado o almacenado (ya sea en el juguete, en el teléfono o en los servidores del fabricante) debería estar cifrado y no enviar datos del usuario a terceros o al menos informar claramente de ello.  

Además, como en la caja del juguete no se pueden ver  los permisos que nos va a pedir la aplicación del móvil necesaria para que funcione el juguete, se fuerza al usuario a aceptar unas condiciones de uso que pueden comprometer su privacidad. Por ello, idealmente antes de la compra se debería informar al usuario de la app necesaria para su funcionamiento, los permisos requeridos y para qué se utilizan. 

Desde OCU pedimos a los fabricantes que en el ámbito de sus competencias tomen las medidas oportunas para garantizar la seguridad, la privacidad y el derecho a la intimidad y la propia imagen de los consumidores. 

Sin leyes, no hay regulación

Además, desgraciadamente hoy en día no existen leyes que regulen este tipo de seguridad y son los consumidores, en este caso menores de edad quienes resultan más perjudicados. Por lo tanto, desde OCU exigimos que las autoridades tomen las medidas necesarias para crear normativas que regulen estos nuevos dispositivos que llegan al mercado para garantizar la seguridad y la privacidad de todos los usuarios.

RovoSpy

RovoSpy (Denunciado por OCU)

Jumping Race Jett

Jumping Race Jett de Parrot (Denunciado por OCU)

Teksta perro Robot 4G

Teksta perro Robot 4G

Minion MIP turbo dave

BB8

BB8

RovoSpy
RovoSpy

RovoSpy (Denunciado por OCU)

Jumping Race Jett

Jumping Race Jett de Parrot (Denunciado por OCU)

Teksta perro Robot 4G
Teksta perro Robot 4G

Teksta perro Robot 4G

Minion MIP turbo dave

Minion MIP turbo dave

BB8
BB8

BB8

RovoSpy
Teksta perro Robot 4G
Minion MIP turbo dave
BB8
Contenidos relacionados

Alertas

Noticias

Consejos

Informes

Enlaces de interés