Alerten dels perills de moltes joguines intel·ligents: a què ens exposem i com evitar-ho

Experts en ciberseguretat han alertat aquesta setmana del perill que comporten moltes joguines intel·ligents, sobretot les més populars. I és que la majoria de jocs o dispositius electrònics amb tecnologia avançada poden espiar de forma il·lícita a les llars i robar dades personals --com imatges i sons--, dades d'accés o credencials dels usuaris, sense que en siguem conscients.

A més, alguns també es poden controlar de forma remota sense que ens n'adonem, una funció que permetria a terceres persones interceptar les nostres comunicacions, suplantar-nos la identitat o agafar el control del joc o el dispositiu en qüestió --com ara un dron, per exemple--, amb finalitats delictives.

L'alerta l'han llançat des de l'empresa S2 Grupo, especialitzada en ciberseguretat, que ha fet públic un estudi sobre el poder d'espionatge il·lícit a les nostres llars que tenen les anomenades "smart toys".

Durant la presentació de l'estudi, la companyia ha fet una demostració de com es pot controlar una joguina des d'un ordinador extern, fins a tenir-ne el control absolut. El potencial de les aplicacions que inclouen aquests dispositius posen en risc el dret a la intimitat dels usuaris i poden permetre, en alguns casos, difondre públicament informació privada.

Entre els exemples que han posat hi ha des d'un os de peluix per a l'aprenentatge interactiu que podia accedir a dades privades dels infants fins a una nina que recopilava dades de forma massiva --incloses les converses familiars-- i les compartia amb empreses externes.

De quines joguines es tracta?

L'estudi classifica aquestes joguines intel·ligents en diferents grups:

- Joguines per a la vida: figures físiques basades en personatges que serveixen com a elements interactius per a l'infant.

- Robòtica: que pot ser dirigida de forma remota amb una aplicació i un seguit de comandaments, normalment amb la veu.

- Wearables: dispositius incorporats a la roba o que ens posem directament al cos, com polseres, rellotges o cascos intel·ligents.

- Jocs de desenvolupament de l'aprenentatge o desenvolupament d'habilitats en els menors com, per exemple, un raspall de dents que funciona a través d'un joc.

- Joguines de realitat augmentada: joguines tradicionals equipades amb sensors que permeten incorporar elements de realitat virtual.

L'estudi distingeix entre les joguines tradicionals, les electròniques i les intel·ligents, en les quals la interacció no és només mecànica, com en els dos primers casos, sinó també sensorial, visual, auditiva i sense fils, i que permeten recollir, compartir i emmagatzemar dades de forma limitada, processar-les de forma externa, connectar-se a internet i fer-ne un control amb dispositius mòbils.

Quins perills comporten?

José Rosell, soci director d'S2 Grup, ha advertit de la gravetat dels perills que comporten aquests dispositius, sobretot per a la privacitat dels menors però també per a tota la família, que sovint no tenen eines de control parental.

"Hem detectat nivells molt baixos de seguretat en aquests dispositius, en part per la seva pròpia naturalesa i limitacions tècniques, i això és especialment greu perquè la informació confidencial que es pot veure compromesa és de menors d'edat, un dels col·lectius més vulnerables."

Els principals ciberperills que comporten aquestes joguines intel·ligents i que ha detectat l'estudi són:

- Espionatge il·lícit de la llar, que pot incloure el robatori de sons i imatges, tant dels menors com de les famílies o de l'entorn on juguen.

- Robatori de dades personals, credencials d'accés, o informació i dades emmagatzemades.

- Control remot del dispositiu des de l'exterior.

- Atacs de denegació de servei i elevació de privilegis.

- Suplantació d'identitat i manipulació.

Es tracta, a més, de joguines intel·ligents amb "elements electrònics integrats que s'adapten a les activitats de l'usuari" i que, per tant, "tenen capacitat d'aprendre i processar informació", com afegeix el director comercial del grup.

Rafael Rosell ha recordat els sensors i dispositius de què disposen aquests jocs, com "micròfons i audiòfons, reconeixement de veu, càmeres, detectors de moviment, sensors tàctils, de temperatura i de proximitat, microprocessadors i transmissors de ràdio o bluetooth per establir comunicacions entre diverses parts de la joguina". Uns elements, tots ells, controlats per un software i amb elements d'intel·ligència artificial.

Les dades que poden recopilar inclouen: localització de longitud i latitud, detector d'infants, registres d'imatges i veu dels menors, sensor d'empremtes i temperatura de les criatures, i les seves adreces, noms i edats, entre d'altres.

Per això, els experts demanen, d'una banda, que les empreses que els produeixin compleixin amb la normativa jurídica i tècnica en vigor, i de l'altra, que els consumidors, especialment els adults, siguin conscients d'aquests riscos i estiguin alerta.

Com es pot protegir la intimitat de les famílies?

Els autors de l'estudi recomanen a les famílies que, quan es registrin per accedir a aquests jocs, donin les mínimes dades possibles, només les imprescindibles, i facin servir el seu dret a lliure accés i destrucció de la informació guardada per la "smart toy".

Reconeixen els beneficis que poden tenir alguns d'aquests dispositius en l'aprenentatge, l'entreteniment i el desenvolupament sociocognitiu dels menors, però els adverteix que cal estar alerta. I per això recomanen, entre altres mesures:

1. Supervisar les activitats dels infants mentre juguen amb aquests dispositius.

2. Comprovar si la joguina conté un xat i si demana ubicació per funcionar.

3. Triar joguines que incloguin eines de control de seguretat parental.

4. Comprovar si la joguina té un component físic o digital d'accés a la xarxa i que només les famílies puguin activar aquest accés.

5. Llegir detingudament la política de privacitat i seguretat de les joguines digitals.

6. Apagar sempre la joguina quan no s'estigui fent servir, establir límits de temps i utilitzar contrasenyes d'autentificació robustes quan s'accedeixi a les xarxes.

L'estudi revela que la majoria de pares i mares (el 77%) estan preocupats per la protecció de la privacitat digital de les seves famílies i també pel fet que terceres persones recopilin dades personals sense el seu consentiment (un 73%).

A més, gairebé totes les famílies enquestades, entorn del 90%, són conscients de la importància de protegir la identitat dels seus fills, la seva ubicació, les dades sanitàries, l'edat, els registres escolars i l'historial de navegació.

La majoria també són conscients que han de fer un seguiment de l'activitat dels menors i que han de poder parlar amb ells regularment sobre privacitat, seguretat i protecció de dades. També que han de disposar d'eines de control parental, i tots volen que qualsevol aplicació que arriba al mercat hagi estat revisada per experts abans que estigui disponible per descarregar-la.

El 80%, fabricades a la Xina, que en pot obtenir les dades

Però malgrat saber-ne la teoria, la companyia alerta que, a la pràctica, els infants i les famílies estan desprotegits perquè la majoria d'aquests dispositius recullen més informació que la "raonable"--com la localització del menor-- i l'emmagatzemen en "núvols" que ningú sap on són i que poden ser utilitzats en països que no es regeixen pels mateixos estàndards de protecció de dades de la UE.

"La tecnologia avança a la velocitat de la llum i les legislacions, no", han alertat des d'S2, des d'on demanen que es creï un segell de qualitat per a aquests productes que garanteixi que compleixen els estàndards de protecció de la intimitat i dades personals des del punt de la ciberseguretat.

I és que el 80% de les joguines d'aquest tipus que hi ha al món s'han fabricat a la Xina, un dels països que recopila dades massivament de tota mena de dispositius connectats a les xarxes socials i que obliga les grans tecnològiques (com Tencent, Alibaba, TikTok o ByteDance) a compartir amb el govern les dades que acumulen.

A diferència d'Europa, a la Xina no hi ha restriccions perquè les entitats governamentals recopilin informació sobre registre de trucades, llistes de contactes, ubicació i altres dades personals, encara que vinguin de "joguines innocents".