Un robot de juguete. Omicrono
La carta a los Reyes Magos del INCIBE: juguetes conectados más ciberseguros y en línea con las leyes europeas
- La entidad advierte que algunos de estos dispositivos carecen de la falta de cifrado de datos sensibles o de medidas para restringir el acceso ilegítimo
- Más información: Lego: el 'ladrillo' que convirtió a una empresa familiar en una gran compañía juguetera
Esta noche miles de familias se preparan en España para recibir en sus hogares a los Reyes Magos. Estos conocidos personajes viajarán a lo largo y ancho del país para ir dejando regalos a aquellos niños que se hayan portado bien a lo largo del año que acaba de concluir y, entre todos los presentes repartidos, sin duda, los más repetidos serán los juguetes.
Este año, esta tradición ha coincidido en el tiempo con la entrada en vigor de una de las leyes más importantes en Europa, la Ley de Ciberresiliencia, que empezó a operar a principios del mes de diciembre y cuenta con un período de transición y adopción de tres años. Esta norma, dada a conocer a finales de 2021, busca elevar el nivel de ciberseguridad de los productos digitales e introduce requisitos obligatorios y proporcionados de ciberseguridad para todo hardware y software.
Pero, ¿qué tiene que ver esta normativa con la fiesta de los Reyes Magos? La ley comunitaria busca garantizar que todos los productos introducidos en el mercado de la UE sean ciberseguros y, entre ellos, se incluyen los juguetes conectados.
Esta tipología ha ganado peso en los últimos años debido al despliegue del ecosistema tecnológico, lo que también ha abierto un nuevo punto débil, ya que cualquier problema de ciberseguridad que afecte a estos elementos puede incidir en toda la cadena de suministro, que, a su vez, puede derivar en perturbaciones de las actividades económicas y sociales en todo el mercado interior, reducir la seguridad e incluso poner en peligro vidas.
Ante este contexto, el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, ha presentado un informe sobre la seguridad de los juguetes conectados en línea con los criterios de la regulación europea.
La regulación dispone que los estados miembros deberán llevar a cabo un nivel de inspección entre el 3% y el 10% de los productos del mercado, dependiendo del riesgo, criticidad del producto, categoría y el volumen en mercado. Con el mencionado estudio, España ha decidido adelantarse y hacer este análisis de forma totalmente voluntaria.
"Los juguetes conectados son una muestra de cómo la tecnología puede ser aliada del ocio y el aprendizaje, siempre que se utilicen de forma segura", afirmó durante la presentación del documento el ministro de Transformación Digital y de la Función Pública, Óscar López. "Este esfuerzo conjunto con fabricantes y consumidores es fundamental para proteger especialmente a los más vulnerables, nuestros niños".
Los juguetes, a examen
El informe analiza 26 juguetes inteligentes, teniendo en cuenta los más vendidos en las plataformas online, que poseen la capacidad de manejar datos del usuario: grabación de video o audio, conexión bluetooth o wifi o aplicación móvil para el manejo del dispositivo.
En concreto, los autores han evaluado ocho áreas clave, dividiendo los juguetes según sus tecnologías de conexión y superficies de exposición: análisis de vulnerabilidades y capacidades de actualización para su remedio, examen de las aplicaciones móviles o de escritorio necesarias para las funcionalidades del juguete, análisis de fortaleza frente a ataques comunes, y análisis de la seguridad de conexiones físicas e inalámbricas.
Así, en algunos productos se han encontrado problemas como configuraciones inseguras por defecto, que pueden permitir la transmisión insegura de datos sensibles como contraseñas, deficiencias en la implementación de actualizaciones de seguridad o aplicaciones móviles vulnerables, que podrían permitir la explotación de vulnerabilidades e incluso el control remoto del dispositivo por parte de atacantes.
De los 26 dispositivos analizados, 15 (67,69%) han obtenido resultados mayoritariamente favorables en las pruebas realizadas, frente a seis (23,08%) que presentaron algún tipo de riesgo para los usuarios finales y el ecosistema conectado y el resto que fueron inconcluyentes debido a la falta de información presentada. En total, se realizaron 364 test, de los cuales el 53,3% fueron favorables, el 20,8% desfavorables y el 25,8% inconcluyentes.
Entre las debilidades o los incumplimientos se mencionan algunos aspectos como la falta de cifrado de datos sensibles, que tenga servicios innecesarios habilitados, el uso de tecnologías obsoletas, la falta de medidas para restringir el acceso ilegítimo o la inadecuación frente a estándares modernos.
Algunas de las áreas más críticas, por ejemplo, son los métodos de autenticación y el firmware, donde el número de dispositivos que superan los estándares marcados es bastante reducido. Mientras, las aplicaciones móviles o la protección frente a accesos no autorizados a conexiones físicas o inalámbricas son aspectos donde la mayoría de juguetes analizados tienen un porcentaje de cumplimiento elevado.
Sobre el tratamiento de la información, el informe concluye que la mayoría (13) no almacenan datos, lo cual elimina los riesgos asociados a la exposición de los mismos. El resto que sí lo hace se distribuye entre almacenamiento en la nube (3), en una memoria interna (10) y en una tarjeta SD o USB (5). Respecto al tipo de información recolectada, el audio es la que más destaca, seguida de la imagen y el vídeo y, en menor medida, de información relativa a la salud o la localización.
En relación a la regulación, el estudio concluye que el 38,46% de los juguetes analizados no cumplen con lo requerido para la Ley de Ciberresiliencia.
Por otro lado, el INCIBE ha elaborado algunas sugerencias para familias para reforzar la ciberseguridad y la confianza digital, entre ellas, supervisar el uso de los dispositivos, investigar antes de comprar si cuentan con las certificaciones pertinentes, mantenerlos actualizados, cambiar las contraseñas predeterminadas o usar siempre redes de confianza.
Además, a los fabricantes les insta a deshabilitar servicios o protocolos innecesarios, detallar funciones de control parental, implementar medidas de cifrado, proveer información clara y accesible y a diseñar productos que cumplan con los estándares de privacidad y ciberseguridad vigentes y futuros.