Con la Navidad a la vuelta de la esquina, el organismo de control del consumidor Which? ha pedido a los minoristas que dejen de vender algunos juguetes populares conectados a Internet que tienen problemas de seguridad "probados" que podrían permitir a los atacantes tomar el control del juguete o enviar mensajes.

Juguetes en riesgo

Vigilancia del consumidor ¿Cuál? ha identificado juguetes como Connect, el robot i-Que, Cloudpets y Toy-fi Teddy que tienen una vulnerabilidad de seguridad porque no se requiere autenticación y podrían vincularse a través de Bluetooth.

Niños en Riesgo

La principal preocupación es que los niños y la privacidad/seguridad de todos los miembros de una familia podrían estar en riesgo porque los fabricantes han recortado costos, han sido descuidados o apresuraron sus productos al mercado sin incorporar una protección adecuada contra la toma de control/hackeo y reversión. ingeniería, por ejemplo, para llevar a cabo la vigilancia.

Los fabricantes de juguetes dicen

A la luz de ¿Cuál? investigación, Hasbro, el fabricante de Furby Connect, ha señalado que se necesitaría una gran cantidad de ingeniería inversa de su producto, además de la necesidad de crear un nuevo firmware para que los atacantes tengan la oportunidad de controlarlo.

Vivid Imagination, que hace que I-Que diga que, aunque revisaría las recomendaciones de Which?, no tiene conocimiento de ningún informe sobre el uso malicioso de estos productos.

Viejos miedos

La idea de que un juguete podría suponer un riesgo para la seguridad de esta forma se remonta a 1998, cuando la Agencia de Seguridad Nacional de EE. UU. prohibió un pequeño robot llamado 'Furby'.

También en los EE. UU., en julio de este año, el FBI emitió un anuncio urgente que describía la vulnerabilidad de los juguetes conectados a Internet a tales riesgos y explicaba los pasos a seguir para minimizar la amenaza. La principal preocupación parecía ser que los niños pequeños pudieran decirles a sus juguetes información privada, pensando que estaban hablando en confianza. Esta información podría ser interceptada a través del juguete, poniendo en riesgo al niño y a la familia.

Otros tipos de 'Juguete'

También hubo noticias esta semana de que la empresa Lovense, con sede en Hong Kong, tuvo que corregir la aplicación en su juguete sexual (vibrador) controlado a distancia (Bluetooth) después de que un usuario de Reddit descubriera una larga grabación en su teléfono que se había realizado durante el funcionamiento del juguete.

Esto provocó más preocupaciones sobre dónde se almacenan los archivos de audio (grabados a través del micrófono del teléfono inteligente de un usuario). Se informa que la compañía dijo que los archivos de audio no se transmiten desde el dispositivo, y que el problema fue causado por "un error menor" limitado a los dispositivos Android, y que no se envió información ni datos a sus servidores.

No la primera vez

Esta no es la primera vez que se plantean preocupaciones sobre los juguetes sexuales IoT. En marzo, los clientes de la empresa de nueva creación Standard Innovation, fabricantes de productos IoT 'We-Vibe', quedaron con la cara roja y enojados después de que un tribunal juzgara a la empresa como culpable de recopilar datos de forma encubierta sobre cómo (y con qué frecuencia) los clientes usaron su juguete sexual habilitado para Wi-Fi.

¿Qué significa esto para tu negocio?

Estos informes han reavivado viejas preocupaciones sobre el desafío de administrar la seguridad de los muchos dispositivos conectados a Internet/inteligentes/IoT que ahora usamos en nuestros entornos comerciales y domésticos.

En lo que respecta a las empresas, en julio de 2016 una encuesta de Vodafone mostró que tres cuartas partes de las empresas vieron cómo utilizan Internet de las cosas (IoT) como un factor crítico para su éxito. Muchos comentaristas de tecnología también han señalado que se desconoce el verdadero alcance de los riesgos que plantean las vulnerabilidades de los dispositivos IoT porque los dispositivos están muy ampliamente distribuidos a nivel mundial y las grandes organizaciones tienden a no incluirlos en las evaluaciones de riesgos para dispositivos, código, datos e infraestructura. .
Muchos comentaristas también han señalado que no solo es difícil para las empresas determinar si todos sus socios de hardware, software y servicios mantienen una seguridad de IoT efectiva, sino que todavía no existe un estándar universal y certificable para la seguridad de IoT.

Por lo tanto, es posible que las empresas deseen realizar una auditoría y una evaluación de riesgos para los dispositivos IoT conocidos que se utilizan en la empresa. Una medida de seguridad básica es asegurarse de que cualquier nombre de usuario y contraseña predeterminados en estos dispositivos se cambien lo antes posible.

Los expertos en seguridad también sugieren que cualquier persona que implemente dispositivos IoT en cualquier entorno debe exigir a la cadena de suministro que brinde evidencia de cumplimiento de un conjunto bien escrito de pautas de adquisición que se relacionen con algún tipo de criterio específico y medible.

Microsoft también compiló una lista de verificación de las mejores prácticas de seguridad de IoT. Esto destaca las diferentes áreas de seguridad que deben abordar las organizaciones involucradas a lo largo del ciclo de vida de un sistema IoT, por ejemplo, fabricación e integración, desarrollo de software, implementación y operaciones.