Els Reis Mags també poden portar ciberamenaces

De ben segur que Ses Majestats d'Orient hauran deixat no poques joguines tecnològics a les llars espanyoles. Els que vam créixer a l'era de Scalextric, Ibertren, Exin Castillos i Madelman mai no podríem haver imaginat ni de lluny el nivell de sofisticació que han assolit les joguines actualment. I és que, com tots els àmbits socials, també han experimentat la transformació digital. De la mateixa manera que les joguines tradicionals han de complir uns estàndards de qualitat i seguretat en el seu disseny i funcionament que evitin qualsevol perjudici derivat del seu ús, les joguines connectades o intel·ligents han de garantir la protecció davant les ciberamenaces que aguaiten a la xarxa.

Estem parlant d'una nova generació de joguines interactives que incorporen elements com la connexió a internet, la possibilitat de compartir informació amb altres dispositius, la capacitat d'interactuar amb sensors o que porten incorporades càmeres de vídeo i micròfons. estàndards de ciberseguretat que protegeixin els més petits de tots els perills derivats de la delinqüència a internet. En aquest sentit, Incibe (Institut Nacional de Ciberseguretat) va publicar a finals de l'any passat un estudi avaluant el grau de ciberseguretat de les joguines connectades de la campanya de Nadal 2024. L'informe va analitzar les característiques de vint-i-sis joguines intel·ligents amb capacitat de manejar dades de l'usuari, gravar vídeo o àudio, connexió Bluetooth o wifi o aplicació mòbil per al maneig del dispositiu, establint els seus punts forts i aspectes de millora, i fent recomanacions per a fabricants i consumidors.

Les conclusions del treball fan que més de la meitat dels dispositius analitzats obtenen resultats majoritàriament favorables en les proves realitzades, i, no obstant, n'hi ha sis que obtenen resultats àmpliament desfavorables, és a dir, que no compleixen amb els requisits mínims de ciberseguretat i que podrien convertir-se en punts dentrada per a ciberatacs. Entre les debilitats detectades s'identifiquen problemes com ara la manca de xifratge per a dades sensibles (la informació de l'usuari està insuficientment protegida i exposada al robatori), l'existència de serveis innecessaris habilitats sense una justificació funcional, l'ús de tecnologies obsoletes o insegures (cosa que deixa als dispositius vulnerables davant d'atacs ben documentats), la manca de mesures per restringir l'accés il·legítim i, finalment, la inadequació davant estàndards moderns i futures lleis i normes.

Si entrem en detall, els aspectes més favorables que ofereixen aquestes joguines en termes de ciberseguretat són les interfícies físiques i aèries, que garanteixen una sòlida protecció davant d'accessos no autoritzats a connexions físiques o sense fil (el 91% dels dispositius analitzats ho compleix) i l'alt nivell de seguretat a les aplicacions mòbils associades (gairebé el 82% de les joguines).

En un segon grup intermedi trobem temes com ara l'anàlisi de vulnerabilitats, la seguretat de les comunicacions i els mecanismes d'actualització. En el primer cas, gairebé un 70% de les joguines presenta una estructura raonablement resistent a vulnerabilitats conegudes i la minimització de ports i serveis innecessaris exposats. D'altra banda, el 53% incorpora en el seu disseny mesures de seguretat a les comunicacions i recol·lecció de dades suficients. Finalment, només el 41% dels dispositius tenen mecanismes d'actualització del microprogramari adequats. El firmware e és un tipus de programari incorporat a qualsevol tipus de dispositiu, ja siguin uns auriculars sense fil, una càmera o un telèfon mòbil, que s'encarrega de controlar les funcions del maquinari .

Sembla que el firmware és una de les principals debilitats d'aquestes joguines connectades, ja que l'informe estableix que més del 80% dels analitzats presenten greus riscos relacionats amb la seva integritat i seguretat. L'altre punt flac són els mètodes d'autenticació, és a dir, la manca de robustesa dels sistemes que verifiquen la identitat dels usuaris. Només la cinquena part dels dispositius han donat resultats favorables en aquesta prova.

Els progenitors hauran de convertir-se en experts en ciberseguretat per protegir els seus fills mentre juguen despreocupadament amb els seus flamants regals de Reis? Probablement no caldrà, si bé la feina d'Incibe ofereix una llista molt interessant de recomanacions per a usuaris i famílies que tots hauríem de tenir molt en compte per evitar mals procedents de les xarxes.