Quién avisa no es traidor

Esta pasada campaña navideña encontramos en los medios como El País o 20 minutos, diferentes artículos referentes a juguetes que tenían como elemento diferenciador, la capacidad de grabar conversaciones para posteriormente, ofrecer interacción con estas.

En estos artículos de los medios se advertía el riesgo potencial de esta recolección de datos en forma de conversaciones de los pequeños. Un usuario con un nivel avanzado,  podría ganar acceso a estos registros y tener a disposición este tipo de datos. A priori no parece que puedan causar ningún daño, pero pueden ser usados para simular falsos secuestros entre otros casos que no llegamos ni a imaginar. El método de trabajo no difiere mucho de servicios como Siri o Google Now, en el que se graba nuestra voz para realizar operaciones sobre el dispositivo.

osos de peluche sin seguridad que no cumplen con la lopd

Exposición de datos personales en juguetes

El caso que nos encontramos se menciona y analiza con profundidad en https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/[Inglés] era la peor de las expectativas posibles.

Cabe destacar que en los Estados Unidos, no disponen de una ley pareja a la Ley de Protección de Datos Personales (LOPD), sino que cada estado tiene regulaciones distintas por estado y en algún caso pueden contradecirse entre ellas.

Para ponernos en contexto, el juguete en cuestión se trata de un peluche donde los padres y familiares autorizados le pueden dejar mensajes a los niños para que estos puedan recibirlos mientras nos encontremos en el trabajo o nos encontremos lejos de ellos. La empresa CloudPets, debido a unas pésimas medidas de seguridad e implementación del servicio, ha causado la exposición de los datos de sus clientes, incluyendo sus direcciones de correo electrónico y cerca de 2,2 millones de registros de audio de padres y familiares con sus hijos.

Conclusiones

Dejando de lado el trabajo de ingeniería de software y seguridad aplicada es digna de un novato, supone un seria violación del principio de privacidad que un juguete para niños debería tener. El acceso a estos datos es tan sencillo como introducir la url asociada al recurso y sin ningún tipo de impedimento tendremos acceso a este.

En resumen y para no alargarnos más, regulaciones de protección de datos personales como las que disponemos en Europa y España, con la LOPD pueden parecer des del punto de vista de las empresas una molestia. Un tramite burocrático que podemos realizar sin más objetivo que el de evitar posibles multas cumpliendo con lo mínimo y olvidarnos de este hasta la siguiente revisión.

La protección de datos personales debe incorporarse a todos los niveles en nuestra actividad productiva ya que nos beneficia a todos. Un gazapo como el que nos encontramos en esta empresa juguetera, a parte de ser merecedora de la multa correspondiente, nunca debería de haberse llegado a producir si en esta empresa estadounidense se hubiera aplicado un protocolo como el que disponemos en nuestro país con la LOPD.

En Edor Team Soft S.L., disponemos de un equipo de expertos que pueden asesorarle en sus proyectos, informáticos o no, en el momento de aplicar las medidas de seguridad informáticas que su empresa requiere, según el nivel de confidencialidad de los datos tratados. Consúltenos sin compromiso