El 2016 fue el aรฑo del ransomware, pero al mismo tiempo pareciera que los hackers sรณlo estuviesen calentando, pues este 2017 no sรณlo se han dedicado a secuestrar archivos, sino cualquier cosa conectada a Internet. Uno de sus รบltimos trucos fue acceder a mรกs de dos millones de grabaciones de voz personales que muchas familias y sus niรฑos habรญan estado compartiendo mediante un osito de felpa conectado a la nube.
Estos juguetes, llamados CloudPets, provienen de la compaรฑรญa Spiral Toys y tienen como principal caracterรญstica el poder compartir mensajes de voz mediante su app para dispositivos inteligentes. Asรญ, por ejemplo, un padre que va al trabajo graba en la aplicaciรณn de iOS o Android un mensaje para su hija, que llega a su vez al telรฉfono inteligente de su esposa, el cual lo lleva mediante Bluetooth al peluche, donde la niรฑa puede escucharlo al apretar el botรณn en la pata del oso. Tal como dicen en el comercial: โLos CloudPets se aseguran de que las voces que amas encuentren el caminoโ.
Por desgracia, en este caso sรญ que han encontrado el camino, pero hacia los hackers. Asรญ lo indica el experto en ciberseguridad Troy Hunt, quien explicรณ que, debido a que estas grabaciones se guardaban en una insegura base de datos en MongoDB โque de hecho a inicios de enero vio secuestrados 27 mil de sus servidoresโ pudieron ser revisadas una cantidad indefinida de veces hasta que algunos hackers las copiaron para ellos, las borraron del servidor y comenzaron a solicitar rescates de 1 BTC ($1276) para devolverlas.
Especรญficamente, Hunt afirmรณ que los CloudPets no tienen ninguna regla para sus contraseรฑas en lo absoluto.ย De tal forma, aunque sรญ se encriptan para su seguridad, literalmente una clave escogida por los usuarios puede ser tan sรณlo de un carรกcter. De hecho, en el vรญdeo de la compaรฑรญa sobre cรณmo comenzar a usar estos juguetes, la contraseรฑa de ejemplo es โqweโ. Asรญ que hackear las cuentas, que incluyen tanto las grabaciones como las direcciones de correo, el ID de usuario y su historial, fue algo mรกs bien sencillo de llevar a cabo. Y como prueba de que esta brecha de seguridad se dio, un informante no identificado de Hunt le pasรณ unas 583 mil grabaciones.
Quizรก lo mรกs sorprendente del asunto es que este situaciรณn se venรญa presentando desde el pasado 30 de diciembre, punto en que iniciaron tambiรฉn los contactos al soporte de Spiral Toys para informar de la brecha de seguridad. Sin embargo, la compaรฑรญa no contestรณ estos correos hasta finales de febrero, cuando emitiรณ un comunicado donde niegan que las bases de datos se hubiesen filtrado y que hayan sido contactados por algรบn hacker. A su vez, Hunt desacredita estas afirmaciones en base a sus propios descubrimientos.
Cuando menos, desde Spiral Toys han tomado algunas medidas. Ademรกs de informar a sus usuarios de la brecha vรญa correo electrรณnico, tambiรฉn les han solicitado cambiar sus contraseรฑas por unas mรกs seguras, y reportaron el incidente a la Fiscalรญa General de California.
ยฟPor quรฉ esto es peligroso?
En teorรญa, no hay ositos diciรฉndoles a los niรฑos que salgan de casa por dulces a medianoche, pero sรญ hay gente externa escuchando cada movimiento de la familia e incluso su direcciรณn fรญsica. Hasta los momentos los hackers, en su mayorรญa, han preferido mantenerse entre las sombras y con guante blanco, pero esto no quiere decir que no tengan el poder para dar otro salto a la realidad.
Con la informaciรณn proporcionada por estos peluches, donde la familia comparte confiadamente con sus seres queridos en conversaciones muy personales, no resultarรญa difรญcil tomar como objetivo de algรบn crimen, desde robo o secuestro, a una familia que haya facilitado demasiados datos. Por no mencionar que los mรกs vulnerables son los principales usuarios de los peluches: los niรฑos.
Por todo ello, la seguridad digital deberรญa primar en las compaรฑรญas fabricantes de dispositivos inteligentes. Y a la hora de comprarlos, cada usuario debe verificar cada una de sus caracterรญsticas de conexiรณn y gestiรณn de datos.
