Actualitat

Ossets de peluix que espien els teus fills

De la tercera revolució industrial de l‘Internet a les Coses : els ordinadors dominen el món, els governs espien als seus ciutadans i les xarxes socials i els smartphones ordenen la vida de més de la meitat de la població mundial. “Les coses” inclouen joguines intel·ligents, dispositius armats amb càmera, micròfon i connexió wifi, molt allunyats d’aquells mini ordinadors portàtils amb figures en blanc i negre pixelades que ensenyaven als nens a repetir noms de coses.

Allò eren els 90, quan Internet era precari i funcionava amb un mòdem a 56kbps. Aquest panorama va canviar amb l’arribada d’una tecnologia wifi més ràpida, més còmode… i potencialment més insegura. Un informe de Rapid7 publicat dimarts passat per TechCrunch revelava que un innocent ós de peluix fabricat per Fisher Price podria haver compromès les dades de milions de nens, com el seu nom, edat o nacionalitat. Els peluixos de la multinacional -la matriu és Mattel- no són les primeres “joguines intel·ligents” a presentar vulnerabilitats. Però com en són d’intel·ligents? Encara que la companyia assegura que no té constància que les dades hagin estat robades per a cap hacker, sí que assumeixen que la informació es podia robar a la Xarxa, per la qual cosa ja han solucionat la sentència. El eldiario.es s’ha posat en contacte amb Fisher Price Espanya i tampoc tenien constància d’aquest fet, tot i que asseguren que “aquesta joguina no es ven al nostre país i no està previst que es comercialitzi”.

Coses amb forats

La moralitat: l’Internet de les Coses és perillós. Probablement sigui idíl·lic i magnífic tenir cada aparell de la casa connectat a la xarxa, però oblidem que, com més nombre de connexions, tenim més forats. Partim de la base que qualsevol dispositiu connectat a Internet és susceptible de ser hackejat, però caiem sistemàticament en l’error de pensar que, si no som famosos, rics o importants, ningú es prendria la molèstia. I probablement ningú vulgui. Això no treu que un dia el nostre fill sigui un d’aquests 200.000 nens on la seva foto es trobava en els servidors de VTech.

Parlem de com el novembre passat un hacker va aconseguir entrar en els servidors del fabricant de joguines xinès VTech, robant dades de més de cinc milions de pares i 200.000 nens. L’empresa, els beneficis ronden els 2.000 milions de dòlars anuals, fabrica vigilanadons, tablets i telèfons per a nens, entre d’altres coses. No va passar res greu ja que l’atacant va decidir publicar només les dades en obert, sense ànim de vendre la informació a cap empresa per lucrar-se amb ella.

No tot són óssos; la nina Cayla o l’arxiconeguda Barbie també s’han vist embolicades en la polèmica en el passat. Tant l’una com l’altra eren joguines que responien a preguntes realitzades pels nens. En el cas de la primera , un investigador de la signatura Pen Test va demostrar que el software de la nina podia ser hackejat perquè aquesta digués gairebé qualsevol cosa. Per la seva banda, la joguina de Mattel va ser rebatejada com “La Barbie Vigilant“, arribant fins i tot a organitzar-se una campanya des de certs sectors per impedir la seva comercialització. Alguns advocats especialistes en temes de ciberseguretat van arribar a dir que “els nens que parlen a la Hello Barbie [el seu nom comercial] no li estan parlant a una nina, sinó a una multinacional anomenada Mattel on el seu únic interès és el financer”.

Les dues nines depenien d’una connexió wifi per funcionar. Els óssos intel·ligents de Fisher Price estan connectats a Internet per oferir al nen activitats personalitzades i fomentar el seu aprenentatge. També inclouen un sistema combinat de veu i imatge per reconèixer la veu del nen. Totes aquestes dades s’allotgen al web del producte, que és on radica el problema.

Óssos que no verificaven dades

L’API -la plataforma web- dels peluixos intel·ligents no verificava correctament els missatges que li arribaven des dels peluixos. Bàsicament: no comprovava si els paquets eren enviats des d’un peluix, un ordinador, una tablet o un mòbil a Bangkok, i això pot desencadenar el fet que qualsevol dels tres dispositius anteriors fos manipulat per un hacker. L’atacant podria haver-se apoderat amb dades dels nens, com la seva edat, la nacionalitat o la gènere; i podria haver creat comptes falses a l’API, esborrar-les o modificar-les.

L’informe de Rapid7, encara que va ser publicat el dimarts, relata una investigació duta a terme el novembre de l’any passat. La consultora es va posar en contacte amb l’empresa nord-americana i l’error es va solucionar. Encara que les dades susceptibles de ser robades potser no tinen una importància cabdal -més enllà de la data de naixement i el nom del nen-, el més inquietant de tot és que l’Internet de les Coses tornarà a fer de les seves abans o després. I si no, temps al temps.