El 2016 fue el año del ransomware, pero al mismo tiempo pareciera que los hackers sólo estuviesen calentando, pues este 2017 no sólo se han dedicado a secuestrar archivos, sino cualquier cosa conectada a Internet. Uno de sus últimos trucos fue acceder a más de dos millones de grabaciones de voz personales que muchas familias y sus niños habían estado compartiendo mediante un osito de felpa conectado a la nube.
Estos juguetes, llamados CloudPets, provienen de la compañía Spiral Toys y tienen como principal característica el poder compartir mensajes de voz mediante su app para dispositivos inteligentes. Así, por ejemplo, un padre que va al trabajo graba en la aplicación de iOS o Android un mensaje para su hija, que llega a su vez al teléfono inteligente de su esposa, el cual lo lleva mediante Bluetooth al peluche, donde la niña puede escucharlo al apretar el botón en la pata del oso. Tal como dicen en el comercial: “Los CloudPets se aseguran de que las voces que amas encuentren el camino”.
Por desgracia, en este caso sí que han encontrado el camino, pero hacia los hackers. Así lo indica el experto en ciberseguridad Troy Hunt, quien explicó que, debido a que estas grabaciones se guardaban en una insegura base de datos en MongoDB —que de hecho a inicios de enero vio secuestrados 27 mil de sus servidores— pudieron ser revisadas una cantidad indefinida de veces hasta que algunos hackers las copiaron para ellos, las borraron del servidor y comenzaron a solicitar rescates de 1 BTC ($1276) para devolverlas.
Específicamente, Hunt afirmó que los CloudPets no tienen ninguna regla para sus contraseñas en lo absoluto. De tal forma, aunque sí se encriptan para su seguridad, literalmente una clave escogida por los usuarios puede ser tan sólo de un carácter. De hecho, en el vídeo de la compañía sobre cómo comenzar a usar estos juguetes, la contraseña de ejemplo es “qwe”. Así que hackear las cuentas, que incluyen tanto las grabaciones como las direcciones de correo, el ID de usuario y su historial, fue algo más bien sencillo de llevar a cabo. Y como prueba de que esta brecha de seguridad se dio, un informante no identificado de Hunt le pasó unas 583 mil grabaciones.
Quizá lo más sorprendente del asunto es que este situación se venía presentando desde el pasado 30 de diciembre, punto en que iniciaron también los contactos al soporte de Spiral Toys para informar de la brecha de seguridad. Sin embargo, la compañía no contestó estos correos hasta finales de febrero, cuando emitió un comunicadodonde niegan que las bases de datos se hubiesen filtrado y que hayan sido contactados por algún hacker. A su vez, Hunt desacredita estas afirmaciones en base a sus propios descubrimientos.
Cuando menos, desde Spiral Toys han tomado algunas medidas. Además de informar a sus usuarios de la brecha vía correo electrónico, también les han solicitado cambiar sus contraseñas por unas más seguras, y reportaron el incidente a la Fiscalía General de California.
¿POR QUÉ ESTO ES PELIGROSO?
En teoría, no hay ositos diciéndoles a los niños que salgan de casa por dulces a medianoche, pero sí hay gente externa escuchando cada movimiento de la familia e incluso su dirección física. Hasta los momentos los hackers, en su mayoría, han preferido mantenerse entre las sombras y con guante blanco, pero esto no quiere decir que no tengan el poder para dar otro salto a la realidad.
Con la información proporcionada por estos peluches, donde la familia comparte confiadamente con sus seres queridos en conversaciones muy personales, no resultaría difícil tomar como objetivo de algún crimen, desde robo o secuestro, a una familia que haya facilitado demasiados datos. Por no mencionar que los más vulnerables son los principales usuarios de los peluches: los niños.
Por todo ello, la seguridad digital debería primar en las compañías fabricantes de dispositivos inteligentes. Y a la hora de comprarlos, cada usuario debe verificar cada una de sus características de conexión y gestión de datos.
