Expertos de Kaspersky alertan que entre otros riesgos está el que puedan verse comprometidos datos sensibles como su nombre, género, edad y ubicación
Los analistas de Kaspersky han descubierto que las vulnerabilidades de un popular robot, y juguete inteligente que podría convertir a los niños en objetivos potenciales de los ciberdelincuentes. Los puntos débiles les permitirían hacerse con el control del sistema del juguete y utilizarlo para comunicarse en secreto con los niños a través de un videochat, sin necesidad de consentimiento de los padres. Los riesgos asociados a la aplicación del sistema robótico se extienden al peligro de que puedan verse comprometidos datos sensibles como el nombre, el género, la edad e incluso la ubicación de los usuarios.
El robot, diseñado para niños, cuenta con sistema operativo Android y
está equipado con una cámara de vídeo y un micrófono. Aprovecha la Inteligencia
Artificial para reconocer e interactuar con los niños por su nombre y ajustar
sus respuestas en función del estado de ánimo del menor, familiarizándose con
ellos. Para aprovechar todo el potencial del juguete, los padres deben
descargar la aplicación en su dispositivo móvil. A través de esta aplicación,
los padres pueden seguir el progreso del niño en sus actividades de aprendizaje
e incluso iniciar una videollamada con el niño a través del robot.
Durante la configuración inicial, se indica a los padres que conecten el
juguete a una red Wi-Fi, lo vinculen a su dispositivo móvil y, posteriormente,
faciliten el nombre y la edad del niño. Durante esta fase, los expertos de
Kaspersky han descubierto un problema de seguridad preocupante: la API
(interfaz de programación de aplicaciones) responsable de solicitar esta
información carece de aplicación de autenticación, un paso que confirma quién
puede acceder a los recursos de la red. Esto permite a los ciberdelincuentes
interceptar y acceder a varios tipos de datos -incluyendo el nombre del niño,
su edad, género, país de residencia e incluso su dirección IP- a través de la
captación y análisis del tráfico de red.
Es más, este fallo también les permite explotar la cámara y el micrófono
del robot, iniciando llamadas directas a los usuarios, saltándose la
autorización necesaria de la cuenta de los tutores. Si un niño acepta esta
llamada, un ciberatacante puede comunicarse de forma encubierta. En estos
casos, el ciberdelincuente podría manipular al usuario, para que abandone la
seguridad de su hogar o influyendo en él para que adopte conductas de riesgo.
Además, los problemas de seguridad de la aplicación móvil de los padres
podrían permitir a un ciberdelincuente hacerse con el control remoto del robot
y obtener acceso no autorizado a la red. Utilizando métodos de fuerza bruta
para recuperar la contraseña de seis dígitos (OTP), y sin límite de intentos
fallidos, también podrían conectar a distancia el robot a su propia cuenta, con
lo que su propietario perdería el control del dispositivo.
“A la hora de comprar juguetes inteligentes, es fundamental dar prioridad no sólo a su valor educativo y de entretenimiento, sino también a cómo está configurada su seguridad. A pesar de la creencia común de que un precio más alto implica una mayor seguridad, es esencial entender que incluso los juguetes inteligentes más caros pueden no ser inmunes a las vulnerabilidades que los atacantes pueden explotar. Por ello, los padres deben examinar detenidamente las reseñas de los juguetes, estar atentos a la actualización del software de los dispositivos inteligentes y supervisar de cerca las actividades de sus hijos durante el tiempo de juego", afirma Nikolay Frolov, analista principal de seguridad del ICS CERT de Kaspersky.
No hay comentarios:
Publicar un comentario