VTech,
el fabricante de juguetes electrónicos, está siendo criticado duramente por su
lamentablemente débil sistema de seguridad después de que detalles de sus 5
millones de usuarios —227,000 de los cuales eran niños— fueron robados en un
hackeo la semana pasada.
La
filtración contenía las identidades y direcciones de las familias afectadas por
el hackeo, según Vice Motherboard,
que dio a conocer la noticia. En respuesta, VTech cerró su tienda de
aplicaciones y 13 de sus sitios en la red asociados para evitar más hackeos.
La
compañía domiciliada en Hong Kong vende tablets rudimentarias como la InnoTab,
y juguetes de aprendizaje para bebés mayores. A través del sitio en la red
Learning Lodge instalado en las tablets InnoTab, los padres podían descargar
aplicaciones, música, libros y juegos para niños después de registrar una
cuenta para cada miembro de la familia.
Los
rastros en línea dejados en Learning Lodge apenas estaban protegidos, si acaso
lo estaban. Toda la información transmitida dentro de VTech se hacía con
conexiones no encriptadas sin la tecnología de encriptado estándar en la
industria Secure Sockets Layer (SSL). VTech almacenó todas las contraseñas de
niños en texto simple y las contraseñas de adultos en un sistema de encriptado
extremadamente obsoleto, el cual era tan débil que “tal vez ni siquiera se
hubieran molestado”, según el experto en seguridad cibernética Troy Hunt.
El
lunes, Motherboard dio seguimiento
con una acusación mucho más terrible: que VTech supuestamente almacenaba fotos,
conversaciones por chat y grabaciones de audio entre los padres y niños sin que
las dos partes lo supieran. Motherboard
reportó que los hackers también tuvieron acceso a datos de una compañía de
servicios llamada Kid Connect, la cual permitía a los padres usar una
aplicación para teléfono inteligente para hablar con sus hijos en su tablet de
VTech.
En
una entrada en el blog de la compañía publicada el lunes, VTech señaló que la
información comprometida no incluía información de tarjetas de crédito y algún
dato de identificación personal, como números de licencias de manejo. Se han
establecido líneas de atención a clientes vía correo electrónico en 10 países
para ayudar a las víctimas.
El hacker anónimo dijo a Motherboard que no planea vender o distribuir los datos de los 5
millones de usuarios en internet.
