Se descubren vulnerabilidades de seguridad en juguetes inteligentes para niños

Esta vulnerabilidad permite a los hackers controlar el sistema robótico para realizar videollamadas con niños sin el consentimiento de sus padres. Además, los riesgos asociados a la aplicación de este sistema robótico también conllevan otros peligros, como el robo de información personal del niño, como su nombre, sexo, edad e incluso ubicación geográfica.

Este robot de juguete infantil con sistema operativo Android, equipado con cámara y micrófono, utiliza inteligencia artificial para reconocer y nombrar a los niños, ajustar automáticamente sus respuestas según su estado de ánimo y, con el tiempo, el robot los conocerá. Para aprovechar al máximo sus funciones, los padres deben descargar la aplicación de control en sus dispositivos móviles. Esta aplicación permite a los padres supervisar el aprendizaje del niño e incluso realizar videollamadas a través del robot.

Durante la fase de configuración, se indica a los padres que conecten el robot a su dispositivo móvil mediante Wi-Fi, tras lo cual deben proporcionar el nombre y la edad del niño. Sin embargo, los expertos de Kaspersky descubrieron un preocupante problema de seguridad: la interfaz de programación de aplicaciones (IPA) que solicita la información del niño carece de una función de autenticación, a pesar de que esta es una comprobación importante para confirmar quién tiene permiso para acceder a los recursos de red del usuario.

Esto supone el riesgo de que los ciberdelincuentes puedan interceptar y robar una amplia gama de datos, incluido el nombre, la edad, el sexo, el país de residencia e incluso la dirección IP de un niño, interceptando y analizando la frecuencia de acceso a la red.

Esta vulnerabilidad permite a un atacante iniciar una videollamada en vivo con un menor, omitiendo por completo el consentimiento parental. Si el menor acepta la llamada, el atacante puede comunicarse con él en secreto sin su permiso. En este caso, puede manipularlo , sacarlo de casa o instruirlo para que realice acciones peligrosas.

Además, los problemas de seguridad de la aplicación en el dispositivo móvil de un padre podrían permitir que un atacante controle el robot de forma remota y obtenga acceso no autorizado a la red. Mediante métodos de fuerza bruta para recuperar contraseñas OTP y la función de intentos de inicio de sesión fallidos ilimitados, un atacante podría vincular remotamente el robot a su propia cuenta, deshabilitando así el control del dispositivo por parte del propietario.

“Al comprar juguetes inteligentes, es importante considerar no solo su valor educativo y de entretenimiento, sino también sus características de seguridad”, afirmó Nikolay Frolov, investigador sénior de seguridad de Kaspersky ICS CERT. “Si bien existe la percepción general de que un precio más alto implica mayor seguridad, es importante tener en cuenta que incluso los juguetes inteligentes más caros no son completamente inmunes a las vulnerabilidades que los atacantes pueden explotar. Por lo tanto, los padres deben leer atentamente las reseñas de los juguetes, mantener los dispositivos inteligentes actualizados con las últimas versiones y supervisar de cerca las actividades de juego de sus hijos”.