Juguetes conectados
Juguetes conectados son dispositivos habilitados para Internet con Wi-Fi, Bluetooth e otras capacidades incorporadas. Estos juguetes, que pueden ser o no juguetes inteligentes, brindan una experiencia más personalizada para los niños a través de un software integrado que incluye reconocimiento de voz y búsqueda en la web funciones.[1] Un juguete conectado generalmente recopila información sobre los usuarios, ya sea voluntaria o involuntariamente,[2] lo que genera dudas sobre el tema de la privacidad.
Recopilación de información
[editar]Tipos de información que se puede recopilar
[editar]Los juguetes conectados de los niños pueden recopilar información diferente, incluida la información de padres e hijos.
La información que se puede recopilar de los niños incluye:[3]
- Fecha de nacimiento, nombre y sexo
- Fotos del perfil
- Mensajes de voz, mensajes de chat y fotos enviadas por niños
- Contraseñas de la cuenta
- Ubicación física
- Historial de chat e historial de navegación en Internet
- registros de llamadas
Información que se puede recopilar de los padres incluye:[3]
- Dirección de correo electrónico y dirección postal
- Género
- Fotos de perfil
- Mensajes de voz, mensajes de chat y fotos enviadas por los padres
- Contraseñas de cuenta y preguntas de recuperación de contraseña
- Información de tarjeta de crédito
- Número de teléfono
- Contraseñas de Wi-Fi y direcciones IP
Formas comunes de recolección
La recolección de La información de los juguetes conectados puede suceder voluntaria o involuntariamente. Las formas comunes de recopilación de información incluyen:[4]
- Información completada por los usuarios al crear una cuenta
- Interacción con los juguetes
- Conexión a Wi-Fi o redes celulares
Problemas relacionados con la privacidad
[editar]A las personas les preocupa que la información de los niños no esté protegida adecuadamente debido a violaciones de datos anteriores. La información recopilada por las compañías de juguetes generalmente es accesible para el público con poca encriptación en el sistema debido a la falta de conocimiento de la privacidad de la información.[2]
Violaciones de datos anteriores
Se han producido varias violaciones de datos con respecto a los juguetes conectados, esto a generado preocupación sobre los métodos que utilizan las compañías de juguetes para proteger la información de los niños y los riesgos a los que expone.[5]
Fuga de datos de CloudPets
En 2017, los juguetes CloudPets de la compañía Spiral Toys han experimentado una fuga de datos significativa en su base de datos. CloudPets almacena toda su información recopilada de los juguetes de peluche en una base de datos en línea. Según el experto en ciberseguridad Troy Hunt, más de 820,000 cuentas de usuarios quedaron expuestas y más de 2.2 millones de mensajes de voz, tanto de niños como de padres, se filtraron durante la grave violación de datos de CloudPets. La causa de la fuga de datos se debió a la insegura base de datos que Spiral Toys utilizó para almacenar la información recopilada. El público en general tenía fácil acceso a la base de datos antes de que ocurriera la fuga de datos.[6]
Aunque la base de datos ya no es accesible al público, Spiral Toys no ha informado a sus usuarios sobre la fuga de datos, lo cual es una violación dede violación de la ley de notificación seguridad en California.[7]
Violación de datos de VTech
En noviembre del 2015, VTech sufrió una grave violación de datos en su sistema de almacenamiento de información, donde los piratas informáticos utilizáron una inyección SQL, que es "un ataque de inyección en el que un atacante puede ejecutar declaraciones SQL maliciosas (también comúnmente conocido como una maliciosa carga útil) que controla el servidor de la base de datos de una aplicación web (también conocido como Sistema de gestión de bases de datos relacionales - RDBMS) ", para obtener la autorización completa de la base de datos donde puede acceder a los datos personales de los niños y los padres.[3][8]
Según la publicación de datos públicos de VTech, se filtraron alrededor de 4.8 millones de cuentas de padres y aproximadamente 6.4 millones de perfiles relacionados con niños en todo el mundo en varios de sus productos. Los datos que se vieron comprometidos durante la violación incluyeron nombre, dirección de correo electrónico, contraseña, pregunta secreta y respuesta para la recuperación de la contraseña, dirección IP, dirección de correo e historial de descargas; no se almacenó información de tarjeta de crédito ni números de seguridad social en la misma base de datos.[9] Estados Unidos fue el que más sufrió debido a la violación de datos, con 2.2 millones de cuentas de padres y 2.9 millones de perfiles de niños registrados en los Estados Unidos, seguidos de Francia, Reino Unido y Alemania. Un hombre de 21 años de Berkshire fue arrestado por el hack.[10]
Intercambio de datos
El intercambio de datos entre productores de juguetes y otras compañías ha generado preocupación por la privacidad de los datos personales recopilados por los juguetes conectados. Las conversaciones e interacciones entre los niños y los juguetes generalmente son grabadas por los juguetes y enviadas al servidor en la nube del productor de juguetes.[1]
La compañía de juguetes que produjo My Friend Cayla y i-Que Intelligent Bot, Genesis Toys, comparte sus datos de voz recopilados por los juguetes con Nuance Communications para mejorar su tecnología de reconocimiento de voz. Nuance Communications tiene el historial de vender soluciones biométricas a agencias militares, de inteligencia y de aplicación de la ley, lo que se tiene en cuenta por cuestiones de privacidad con respecto a los juguetes conectados.[11]
Del mismo modo, Hello Barbie producida por Mattel, Inc. utiliza tecnologías de reconocimiento de voz proporcionadas por ToyTalk con sede en California. Los datos recopilados por Hello Barbie se comparten activamente entre Mattel y ToyTalk.[1]
Retención de datos
La retención de datos de la información recopilada por los juguetes conectados también es un problema a considerar. De acuerdo con la Ley de protección de la privacidad en línea de los niños, "un operador de un sitio web o servicio en línea retendrá la información personal recopilada en línea de un niño solo durante el tiempo que sea razonablemente necesario para cumplir el propósito para el cual se recopiló la información. El operador debe eliminar dicha información utilizando medidas razonables para proteger contra el acceso no autorizado o el uso de la información en relación con su eliminación".[12]
El Consejo Noruego del Consumidor realizó una investigación sobre los términos de uso y las políticas de privacidad de My Friend Cayla y i-Que Intelligent Bot en 2016. Descubrieron que las políticas de privacidad no mencionan específicamente cuánto tiempo se conservarán los datos después de los usuarios dejan de usar el servicio o eliminar la cuenta. Específicamente, la política de privacidad de My Friend Cayla menciona que "no siempre es posible eliminar o eliminar por completo toda su información de nuestras bases de datos sin algunos datos residuales debido a copias de seguridad y otras razones".[13]
Prohibición de My Friend Cayla en Alemania
A principios de 2017, la Agencia Federal de Redes de Alemania, Bundesnetzagentur, ha prohibido la venta y posesión del juguete conectado My Friend Cayla producido por Genesis Toys, alegando que el juguete es un dispositivo de transmisión de información inseguro y no autorizado. My Friend Cayla es el primer juguete conectado que fue prohibido por Alemania.[14] La agencia afirma además que cualquier juguete que transmita datos, incluidas características como la grabación de video y voz, sin detección está prohibido en Alemania. Le preocupa el uso potencial del juguete como dispositivo de vigilancia. El presidente de Bundesnetzagentur, Jochen Homann, afirma que "los elementos que ocultan cámaras o micrófonos y que son capaces de transmitir una señal, y por lo tanto pueden transmitir datos sin detección, comprometen la privacidad de las personas. Esto se aplica en particular a los juguetes para niños. La muñeca Cayla tiene ha sido prohibido en Alemania. Esto también es para proteger a los más vulnerables en nuestra sociedad".[15]
La agencia está llevando a cabo más investigaciones en otros juguetes conectados.[15] No se ha realizado ninguna acción hacia las familias que tienen el juguete. La Agencia Federal de Redes aconsejó a los padres que destruyan inmediatamente el juguete para evitar el riesgo potencial de comprender la privacidad de los datos personales.[14]
Leyes relacionadas con los juguetes conectados
[editar]Leyes federales que se asocian comúnmente con los juguetes conectados, incluida la Ley de Protección de Privacidad en Línea para Niños (COPPA) y la sección 5 de la Ley de la Comisión Federal de Comercio. Ambos actos son aplicados por la Comisión Federal de Comercio con respecto a la recopilación de datos de información personal de los niños.[3]
Ley de protección de la privacidad en línea para niños
Juguetes, que pueden conectarse a Internet de varias maneras, están sujetos a la regulación legal de la Ley de protección de la privacidad en línea para niños (COPPA). COPPA les da a los padres el control sobre qué información se recopila de sus hijos en línea. Se requiere que los sitios web soliciten permisos verificables de los padres antes de recibir cualquier información personal en línea de niños menores de 13 años.[16] Si los datos se transfieren a un tercero, el tercero debe seguir los mismos pasos para proteger el datos.[17] violación de COPPA está sujeta a sanciones civiles de hasta $ 40,654 por incidente.[16]
Se han planteado preocupaciones con respecto a la protección de COPPA para los juguetes conectados, ya que los juguetes que se compran en tiendas minoristas no están directamente sujetos a la protección legal de COPPA.
Otras fuentes de preocupación se relacionan con el cumplimiento de las compañías de juguetes conectadas con respecto a COPPA. El Centro de Información Electrónica de Privacidad, la Campaña por una Infancia sin comerciales, el Centro para la Democracia Digital y la Unión de Consumidores presentaron una queja a la Comisión Federal de Comercio sobre cómo My Friend Cayla y I-Que Intelligent Bot producidos por Genesis Toys han violado leyes de COPPA. La queja mencionaba el intercambio de datos entre Genesis Toys y Nuance Communications. Además, se refiere a cómo Nuance Communications no menciona directamente el cumplimiento de COPPA.[11]
Sección 5 de la Ley de la Comisión Federal de Comercio
"Los actos o prácticas injustas o engañosas en el comercio o que afectan al comercio" se declaran ilegales en la sección 5 de la Ley de la Comisión Federal de Comercio.[18] La Comisión Federal de Comercio ha utilizado su sección 5 para proteger la privacidad y los datos personales de los consumidores. Las compañías de juguetes conectados podrían potencialmente violar la Ley FTC al recopilar, proteger y hacer un uso indebido de los datos y la información recopilada de manera inapropiada por los juguetes.[3]
Referencias
[editar]- ↑ a b c «Consumer and Privacy Issues in Internet-Connected Toys 2017». Archivado desde el original el 24 de julio de 2020. Consultado el 29 de julio de 2020.
- ↑ a b O’Shea, Joe, ed. (2016). can-be-directed-to-take-pictures-video-audio-and- you-will-have-no-idea-it-is-happening-irish-cyber- security-expert-warns-parents-35183365.html «Toys can be directed to take pictures, video, audio, and you will have no idea it is happening'- Irish cyber security expert warns parents».
- ↑ a b c d e Nelson, Bill (ed.). «Children's Connected Toys: Data Security and Privacy Concerns.” Homeland Security Digital Library.». Homeland Security Digital Library. Consultado el 1942-2016.
- ↑ Gibbs, Samuel (ed.). «Privacy fears over 'smart' Barbie that can listen to your kids». The Guardian. Consultado el 2015.
- ↑ «Juguetes: cada día más inteligentes, pero ¿son seguros?».
- ↑ Hunt, Troy (ed.). «Data from Connected CloudPets Teddy Bears Leaked and Ransomed, Exposing Kids' Voice Messages». Troy Hunt. Consultado el 2017.
- ↑ Larson, Selena (ed.). «Stuffed toys leak millions of voice recordings from kids and parents». CNN Tech. Consultado el 2017.
- ↑ «What Is SQL Injection (SQLi) and How to Fix It». Acunetix. Consultado el 2017.
- ↑ «Data Breach On VTech Learning Lodge and Resumption of Trading». Consultado el 2017.
- ↑ «FAQ about Cyber Attack on VTech Learning Lodge (Last Updated: 11:30, December 16, 2016, HKT)». VTech. Consultado el 2017.
- ↑ a b «FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications». FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications.
- ↑ «16 C.F.R 312.10».
- ↑ «Privacy Policy». My Friend Cayla. Archivado desde el original el 7 de enero de 2019. Consultado el 2017.
- ↑ a b Huggler, Justin (ed.). «Germany Bans Internet-Connected Dolls over Fears Hackers Could Target Children». The Telegraph. Consultado el 2017.
- ↑ a b «Bundesnetzagentur Removes Children's Doll ‘Cayla’ from the Market.». Bundesnetzagentur Press. Consultado el 2017.
- ↑ a b Questions «Complying with COPPA: Frequently Asked Questions.». Complying with COPPA: Frequently Asked Questions | Federal Trade Commission. Consultado el 2015.
- ↑ «16 C.F.R. § 312.8».
- ↑ «https://www.ftc.gov/enforcement/statutes/federal-trade-commission-act». Federal Trade Commission.