Se descubren vulnerabilidades de seguridad en juguetes inteligentes para niños

Esta vulnerabilidad permite a los hackers controlar el sistema robótico para realizar videollamadas con menores sin el consentimiento de sus padres. Además, los riesgos asociados al uso de este sistema robótico también conllevan otros peligros, como el robo de información personal de los menores, incluyendo nombre, sexo, edad e incluso ubicación geográfica.

Este robot de juguete infantil, con sistema operativo Android, está equipado con cámara y micrófono, y utiliza inteligencia artificial para reconocer y nombrar a los niños. Ajusta automáticamente sus respuestas según su estado de ánimo y, con el tiempo, llega a conocerlos mejor. Para aprovechar al máximo sus funciones, los padres deben descargar una aplicación de control en sus dispositivos móviles. Esta aplicación les permite supervisar el aprendizaje de sus hijos e incluso realizar videollamadas a través del robot.

Durante la configuración inicial, se les indica a los padres que conecten el robot a su dispositivo móvil mediante Wi-Fi, tras lo cual deben proporcionar el nombre y la edad del niño. Sin embargo, los expertos de Kaspersky descubrieron un preocupante problema de seguridad: la interfaz de programación de aplicaciones (API) que solicita la información del niño carece de un mecanismo de autenticación, siendo esta una verificación crucial para confirmar quién tiene permiso para acceder a los recursos de red del usuario.

Esto supone el riesgo de que los ciberdelincuentes puedan interceptar y robar una amplia gama de datos, incluidos nombres, edades, géneros, países de residencia e incluso direcciones IP de los niños, mediante la interceptación y el análisis de la frecuencia de acceso a la red.

Esta vulnerabilidad permite a un atacante iniciar una videollamada en directo con un menor, eludiendo por completo el consentimiento de la cuenta parental. Si el menor acepta la llamada, el atacante puede intercambiar información con él en secreto sin el permiso de los padres. En este caso, el atacante puede manipular al menor, engañarlo para que salga de casa o inducirlo a realizar acciones peligrosas.

Además, los problemas de seguridad de la aplicación en el dispositivo móvil del padre o tutor podrían permitir que un atacante controle el robot de forma remota y obtenga acceso no autorizado a la red. Mediante el uso de métodos de fuerza bruta para recuperar la contraseña OTP y la función de intentos de inicio de sesión fallidos ilimitados, el atacante podría vincular el robot a su propia cuenta, impidiendo así que el propietario controle el dispositivo.

Nikolay Frolov, investigador sénior de seguridad en Kaspersky ICS CERT, comentó: «Al comprar juguetes inteligentes, es importante considerar no solo su valor lúdico y educativo , sino también sus características de seguridad. Si bien existe la percepción generalizada de que un precio más alto implica mayor seguridad, es importante tener en cuenta que incluso los juguetes inteligentes más caros no son completamente inmunes a las vulnerabilidades que los atacantes pueden explotar. Por lo tanto, los padres deben leer atentamente las reseñas de juguetes, actualizar siempre los dispositivos inteligentes a las últimas versiones y supervisar de cerca las actividades de juego de sus hijos».