Cuando el osito de peluche de tu hijo se convierte en un siniestro espía que lo graba todo

Ahora que el llamado 'internet de las cosas' está cada vez más cerca de nuestros hogares, a muchos padres les pareció brillante la idea de comprar un oso de peluche con conexión a internet, micrófono y bluetooth para entretener a sus hijos. Se ve que es una tendencia en el mundo de los juguetes poder mandarse mensajes de voz con los juguetes... pero ha resultado ser algo peligroso.

CloudPets, una empresa de juguetes californiana que fabrica estos dispositivos, ha reconocido que una gran cantidad de grabaciones, correos electrónicos y datos personales han quedado a merced de los hackers. Y, lo peor de todo, es que hicieron caso omiso de las advertencias de la presencia de datos online de sus clientes.

En el mes de enero alguien logró acceder a mensajes de los usuarios, porque resulta que los juguetes no requerían la contraseña de sus usuarios. De esta forma, habría sido relativamente sencillo para cualquier atacante conseguir acceso ilimitado, según la web especializada en seguridad 'Troy Hunt', que calcula en más de 820.000 los afectados.

La misma fuente afirma el fabricante almacenó los datos de sus clientes en una base de datos sin ningún tipo de seguridad como un cortafuegos o ni siquiera una simple password. La base de datos era fácil de encontrar utilizando Shodan, un motor de búsqueda que convierte en coser y cantar la búsqueda de servidores y webs desprotegidos.

Bluetooth sin seguridad

Según cuenta un investigador de seguridad a 'Motherboard', “cualquier persona en el rango de menos de diez metros con un smartphone podría conectarse al oso de peluche”. Una vez conectados también se podrían enviar comandos y datos fácilmente, convirtiendo un inofensivo juguete en prácticamente un dispositivo de vigilancia remota.

Esto sucede porque la empresa pasó de utilizar funciones de seguridad tan básicas como el cifrado en el emparejamiento de dispositivos, para evitar que cualquiera se conecte al dispositivo. Y, aún peor, la distancia para poder acceder a los audios aún podría ser más lejana usando una antena amplificadora, tal y como cuenta en una entrada en 'Context' otro analista.

Después de ver lo fácil que era hackearlo, el reclamo comercial del juguete -“Un mensaje que puedes abrazar”- podría ser cambiado a “Un mensaje que te pueden robar”. Gracias al desentendimiento del fabricante, que ha permitido un auténtico abrazo del oso a sus usuarios por parte de los hackers.