Smart Toys o cómo poner un espía a tus hijos

Las jugueterías han cambiado. Los balones, bicicletas o muñecas de trapo han pasado, en muchos casos, a un segundo plano para dejar espacio a los Smart Toys, o lo que es lo mismo, los juguetes conectados o inteligentes. Y es que ahora es difícil encontrar a un niño que no tenga en su poder algún dispositivo con software que le permita interactuar con él mediante la voz o conectarse a internet.

Robots que hablan y parecen tener personalidad propia, smartwatches que recogen información de quien lo lleva, tabletas o móviles con las que pueden jugar con otros usuarios, o vehículos y drones teledirigidos que llevan una cámara incorporada. Todos ellos son capaces de recopilar datos de los más pequeños del hogar, pero también de la propia casa y de su familia, para cederlos a terceros y en el peor de los casos, para que algún hacker tenga el camino hecho.

Se abre así un nuevo escenario en el que ciberdelincuentes y empresas acceden a información personal para su propio beneficio. "La privacidad de los datos de los menores se puede ver seriamente comprometida por los juguetes dotados de capacidades de comunicación con otros dispositivos para compartir datos como la ubicación o conversaciones", señala el Instituto Nacional de Ciberseguridad (Incibe) en la nueva guía sobre el uso seguro de los juguetes que ha publicado junto a la Asociación Española de Fabricantes de Juguetes.

Y ya se han dado casos de ello. En 2017, en Alemania el Organismo Regulador de las Telecomunicaciones de Alemania, Bundesnetzagentur, prohibió la venta de una muñeca interactiva que enseñaba a los niños a programar y permitía comunicarse con ella mediante un micrófono interno, un sistema de reconocimiento de voz y conexión a internet a través de bluetooth. Se trataba de My friend Cayla, de la empresa estadounidense Genesis Toys, y el juguete contestaba a las preguntas que le hacían los niños con lo que tenía en su base de datos o, si no lo encontraba ahí, conectándose a internet para saber las respuestas. Eso sí, antes de empezar a hablar con los más peques, la muñequita "necesitaba" saber el nombre del menor, de sus padres, de su colegio, su ciudad y su localización física de éstos. Esto conllevaba dos riesgos: qué podía contestar la "inteligencia" de la muñeca, que en ocasiones podía ser inadecuado, y la facilidad para ser pirateada por algún hacker, quien tendría acceso al menor y a todos sus datos.

Muñeca My friend Cayla. | Imagen: Europa Press.

No es el único juguete que ha tenido problemas por su escueta seguridad. Más de 800.000 cuentas de usuario de los peluches CloudPets y más de dos millones de conversaciones estuvieron totalmente expuestas durante meses. Estos juguetes de Spiral Toys estaban conectados a internet para ofrecer a los padres y niños un sistema de comunicación a distancia a través de una aplicación. En este caso, la falta de seguridad en la base de datos del servidor hizo que un grupo de hackers pudiera acceder a ella y la secuestró, pidiendo un rescate en bitcoins. No se sabe si la empresa finalmente pagó o no.

¿Quién es el responsable de proteger la seguridad de los menores? Pues aquí todos tienen parte de responsabilidad. En primer lugar, como es evidente, los padres deben procurar que "los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales". Así lo dice el artículo 84 de la Ley de Protección de los Menores en Internet (Lopdgdd).

Y por otro lado, los fabricantes y el resto de empresas que hagan uso de los datos tienen que tomar medidas que mantengan la seguridad y privacidad de los usuarios, ya sea con métodos de autenticación seguros, cifrados de los datos almacenados en el juguete o con actualizaciones de seguridad regulares, entre otras. Y sobre todo, explicando en la política de privacidad del producto quién es el responsable de la información que se recopila, qué uso se le va a dar y cómo se puede ejercer el derecho de rectificación, supresión, etc.

La cuestión de la privacidad es un tema delicado y más cuando se habla de menores. Los fabricantes de juguetes deben tener claro que cuentan con limitaciones a la hora de compartir los datos con terceros, ya que sólo podrán hacerlo cuando cuenten con el consentimiento del usuario. Y como hablamos de un producto dirigido en su mayoría a menores de edad, la protección de la información personal en estos casos es "específica" según el Reglamento General de Protección de Datos, ya que "los menores pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos" concernientes a este tipo de información.

Así, el tratamiento de los datos de un menor de edad, en general, "únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años". Para los que tengan menos de esa edad, el tratamiento, "fundado en el consentimiento, sólo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela".

Esta problemática ya se está trabajando desde principios de 2019 a nivel europeo con la preparación de una ley cuyo objetivo es fortalecer la seguridad de los dispositivos conectados a internet, la mayoría de los cuales se espera que formen parte de Internet de las cosas y de los equipos de radio portátiles.

Lo que si es imprescindible es que, como señala Incibe, los usuarios "en ningún caso deben proporcionar al juguete datos que puedan servir para localizar al menor, y antes de compartirlos con terceros o desecharlos, han de tomar precauciones para borrar todos los datos que pudieran haber almacenado". Si no ofreces esa información, empresas y hackers no podrán tenerla.

__________

Lydia López es periodista y miembro del equipo de redacción de Consumerismo.