Las brechas de seguridad y los asaltos a la intimidad están tan al orden del día que ya no son noticia ni apenas nos sorprenden. Sin embargo, cuando entran niños en juego, la cosa es mucho más grave.
Y es que hace poco se ha producido una de los robos de datos más importantes del año, y lo peor es que afecta a datos de menores.
La conocida empresa china llamada VTech produce multitud de juguetes electrónicos para niños. En los últimos años ha lanzado dispositivos que además se conectan a Internet y permiten a los niños registrarse para poder descargar nuevos contenidos para los ordenadores infantiles.
Hace unos días se descubrió que un asaltante había logrado obtener los datos personales de casi 5 millones de padres y de más de 200.000 niños, atacando la web de VTech usando técnicas de inyección SQL.
Estos datos incluyen nombres, claves, emails y direcciones postales de los padres, y el nombre de pila, la fecha de nacimiento y el género de los pequeños. Además, y esto es aún más grave, es posible enlazar la información de ambos de modo que se puede saber los datos completos de los niños, dónde viven, etc... Y como además se obtuvieron las preguntas de seguridad (estilo "¿cuál es tu color favorito?", "¿dónde naciste?", etc...) y sus respuestas, existe información que podría comprometer más a los menores.
Se trata de algo realmente grave, en lo que además la empresa actuó con negligencia, sin seguir ni siquiera las buenas prácticas mínimas que se podrían esperar de cualquier aplicación conectada y más en el caso de una organización que factura miles de millones de euros cada año.
Por ejemplo, las comunicaciones no usaban SSL, toda la información se guardaba sin cifrar en modo alguno, en las respuestas de las peticiones al servicio se devolvían detalles con partes de consultas SQL ayudando a conocer detalles sobre la base de datos... Vamos, todo lo que cualquiera que se dedique a esto debería saber porque es el ABC.
Troy Hunt, un conocido experto en seguridad que está detrás del conocido sitio HaveIBeenPwned.com y es MVP de Microsoft, tiene un detallado artículo sobre el caso en el que explica con detalle la información que hay, el proceso de trabajo de los juguetes y las cosas que VTech hizo rematadamente mal. Es un poco largo pero merece la pena leerlo.
Esta brecha de información se ha revelado con la intención de llamar la atención sobre el problema, y VTech no estaba ni siquiera sobre aviso, por lo que es posible que esa misma información haya sido robada por otros asaltantes con peores intenciones :-S
En el mundo híper-conectado en el que vivimos debemos ser muy cuidadosos a la hora de elegir cualquier tecnología, pero en el caso de juguetes conectados para nuestros hijos la importancia es mucho mayor si cabe, así que hay que pensárselo muy bien antes de hacerlo o antes de dar nuestros datos de cualquier manera. Tenlo en cuenta ahora que se acerca la época de los regalos navideños.