miércoles, 8 de enero de 2025

Los Reyes Magos también pueden traer ciberamenazas

 


A buen seguro que Sus Majestades de Oriente habrán dejado no pocos juguetes tecnológicos en los hogares españoles. Los que crecimos en la era de Scalextric, Ibertren, Exin Castillos y Madelman jamás podríamos haber imaginado ni de lejos el nivel de sofisticación que han alcanzado los juguetes en la actualidad. Y es que, al igual que todos los ámbitos sociales, también han experimentado la transformación digital. De la misma forma que los juguetes tradicionales tienen que cumplir unos estándares de calidad y seguridad en su diseño y funcionamiento que eviten cualquier perjuicio derivado de su uso, los juguetes conectados o inteligentes deben garantizar la protección ante las ciberamenazas que acechan en la red.


Estamos hablando de una nueva generación de juguetes interactivos que incorporan elementos como la conexión a internet, la posibilidad de compartir información con otros dispositivos, la capacidad de interactuar con sensores o que llevan incorporados cámaras de vídeo y micrófonos. Todo ello implica que deben cumplir unos estándares de ciberseguridad que protejan a los más pequeños de todos los peligros derivados de la delincuencia en internet. En este sentido, Incibe (Instituto Nacional de Ciberseguridad) publicó a finales del año pasado un estudio evaluando el grado de ciberseguridad de los juguetes conectados de la campaña de Navidad 2024. El informe analizó las características de veintiséis juguetes inteligentes con capacidad de manejar datos del usuario, grabar vídeo o audio, conexión Bluetooth o wifi o aplicación móvil para el manejo del dispositivo, estableciendo sus puntos fuertes y aspectos de mejora, y realizando recomendaciones para fabricantes y consumidores.


Las conclusiones del trabajo arrojan que más de la mitad de los dispositivos analizados obtienen resultados mayoritariamente favorables en las pruebas realizadas, y, sin embargo, hay seis que obtienen resultados ampliamente desfavorables, es decir, que no cumplen con los requisitos mínimos de ciberseguridad y que podrían convertirse en puntos de entrada para ciberataques. Entre las debilidades detectadas se identifican problemas como la falta de cifrado para datos sensibles (la información del usuario está insuficientemente protegida y expuesta al robo), la existencia de servicios innecesarios habilitados sin una justificación funcional, el uso de tecnologías obsoletas o inseguras (algo que deja a los dispositivos vulnerables frente a ataques bien documentados), la falta de medidas para restringir el acceso ilegítimo y, finalmente, la inadecuación frente a estándares modernos y futuras leyes y normas.


Si entramos en detalle, los aspectos más favorables que ofrecen estos juguetes en términos de ciberseguridad son las interfaces físicas y aéreas, que garantizan una sólida protección frente a accesos no autorizados a conexiones físicas o inalámbricas (el 91% de los dispositivos analizados lo cumple) y el alto nivel de seguridad en las aplicaciones móviles asociadas (casi el 82% de los juguetes).


En un segundo grupo intermedio encontramos temas como el análisis de vulnerabilidades, la seguridad de las comunicaciones y los mecanismos de actualización. En el primer caso, casi un 70% de los juguetes presenta una estructura razonablemente resistente a vulnerabilidades conocidas y la minimización de puertos y servicios innecesarios expuestos. Por otro lado, el 53% incorpora en su diseño medidas de seguridad en las comunicaciones y recolección de datos suficientes. Finalmente, tan solo el 41% de los dispositivos tiene mecanismos de actualización del firmware adecuados. El firmware es un tipo de software incorporado a cualquier tipo de dispositivo, ya sean unos auriculares inalámbricos, una cámara o un teléfono móvil, que se encarga de controlar las funciones del hardware.


Parece ser que el firmware es una de las principales debilidades de estos juguetes conectados, pues el informe establece que más del 80% de los analizados presenta graves riesgos relacionados con su integridad y seguridad. El otro punto flaco son los métodos de autenticación, es decir, la falta de robustez de los sistemas que verifican la identidad de usuarios. Solamente la quinta parte de los dispositivos han dado resultados favorables en esta prueba.


¿Tendrán los progenitores que convertirse en expertos en ciberseguridad para proteger a sus hijos mientras juegan despreocupadamente con sus flamantes regalos de Reyes? Probablemente no hará falta, si bien el trabajo de Incibe ofrece una lista muy interesante de recomendaciones para usuarios y familias que todos deberíamos tener muy en cuenta para evitar males procedentes de las redes.


 
Google Analytics Alternative