ESET, compañía líder en detección proactiva de amenazas, advierte sobre una serie de vulnerabilidades críticas en relojes inteligentes para niños. Investigadores de la Universidad de Ciencias Aplicadas de Münster en Alemania publicaron recientemente los resultados de una investigación sobre la seguridad de relojes inteligentes para niños de seis marcas diferentes, en la que descubrieron múltiples fallos de seguridad que podrían ser explotados por actores malintencionados.

Luego de haber realizado diferentes pruebas, descubrieron debilidades que permitirían a un atacante aprovecharse de las funciones de los dispositivos para monitorear la ubicación de los niños a partir del GPS de cinco de las seis marcas analizadas. Además, identificaron otras vulnerabilidades aún más severas que permitirían a un agresor enviar mensajes de texto y voz a los niños, interceptar los mensajes, y grabar audio del entorno de los más pequeños.

Esta no es la primera vez que se conocen fallas de seguridad en dispositivos IoT para los más chicos. En 2016, por ejemplo, investigadores descubrieron vulnerabilidades en peluches de Fisher-Price y en el reloj GPS hereO que exponían datos y la ubicación de los usuarios. Mientras que en 2017 el Consejo de Consumidores de Noruega reveló, en un estudio realizado también en relojes inteligentes para niños, la existencia de importantes fallas de seguridad. Las vulnerabilidades descubiertas en este caso en particular fueron reportadas a los fabricantes y muchas de ellas fueron corregidas, aunque algunas todavía no.

“Desde ESET creemos que la educación en materia de ciudadanía digital es esencial tanto en casa, con en el entorno que rodea a los pequeños. Por eso tenemos el portal Digipadres, una iniciativa pensada para Latinoamérica, en la que compartimos muchos consejos para el acompañamiento y protección de los niños”, informa Marielos Rosa, gerente de Operaciones ESET Centroamérica.

Según explican los investigadores, tras realizar las pruebas en estos relojes, descubrieron que las comunicaciones con el servidor (que envía y recibe información entre el dispositivo y la aplicación instalada en los teléfonos de los padres) no eran cifradas ni contaban con mecanismos de autenticación. En este sentido, dado que cada uno de estos relojes inteligentes viene con un IMEI que funciona como identificador único, un atacante con este identificador puede aprovechar estas fallas para alterar la comunicación enviada desde el reloj al servidor y modificar la información sobre la localización, pero también puede espiar las comunicaciones al grabar sonido a través del reloj inteligente e incluso enviar un mensaje de voz haciendo creer al padre o la madre que es enviado desde el dispositivo de su hijo.

“Ante este tipo de situaciones, es recomendable realizar una investigación previa a la adquisición de los dispositivos. Se puede encontrar mucha información en línea sobre vulnerabilidades detectadas, también reseñas de otros usuarios que hayan pasado por algún inconveniente. Por otro lado, es fundamental configurar todos los parámetros de privacidad y seguridad que incluyan los dispositivos adquiridos, al mismo tiempo que se debe cambiar cualquier contraseña por defecto con el objetivo de evitar intentos de accesos externos por este medio”, comenta Luis Lubeck, Especialista en Seguridad Informática de ESET Latinoamérica. 

Leave a Comment