CloudPets, los juguetes inteligentes distribuidos por el gigante Amazon ha sido retirado de la plataforma debido a advertencias sobre problemas de ciberseguridad y tras descubrirse que grababan millones de conversaciones de voz de los propietarios.
Este problema de ciberseguirdad y grabaciones de conversaciones almacenadas sin protección se detecto en febrero de 2017, pero a pesar de que el fabricante Spiral Toys afirmó haber tomado una «acción rápida», investigaciones posteriores afirman haber encontrado vulnerabilidades.
«Parece que negarse a vender productos que amenazan la seguridad y privacidad de los clientes es la única forma de que los diseñadores y fabricantes de estos productos se preocupen por estos riesgos», dijo Angela Sasse, profesora de tecnología centrada en el ser humano en University College London.
Juguetes hackeables
La gama CloudPets incluye una serie de juguetes de animales suaves que están equipados con un micrófono y un altavoz. Estos permiten a los niños grabar sus propios mensajes y reproducir las grabaciones de voz de amigos y familiares, que se cargan en la red a través de una aplicación conectada por Bluetooth.
Aunque Spiral Pets finalmente abordó el hecho de que muchas grabaciones habían sido expuestas en línea, el investigador de seguridad Troy Hunt reveló el año pasado que lo había hecho solo después de haber sido contactado cuatro veces sobre el tema.
Mientras tanto, agregó, los datos habían sido accedidos en múltiples ocasiones por partes no autorizadas, e incluso habían sido retenidos por un rescate, antes de que el asunto fuera resuelto.
La organización sin fines de lucro Mozilla Foundation, que desarrolla el navegador Firefox, posteriormente encargó a una empresa de investigación alemana que realice más pruebas este año.
Cure53 descubrió que el segundo defecto no había sido reparado.
Se informó sobre un problema adicional: la aplicación de juguetes remitía a los usuarios a un sitio web tutorial cuyo registro de dominio había caducado.
Existía el riesgo, dijo Cure53, de que los hackers pudieran obtener la dirección web y usarla para organizar ataques adicionales contra las familias.
