Los expertos coinciden en que los procedimientos de almacenamiento y encriptado de Vtech, empresa fabricante de juguetes electrónicos, eran “altamente inseguros”. El hacker, que solo pretendía enseñar la vulnerabilidad de la firma, señaló que “francamente, me pone enfermo haber logrado todo este material» tras acceder a los datos de más de 200.000 menores. Entre las deficientes medidas que achacan a Vtech estaría un mal uso de un sistema a priori seguro o una fórmula catalogada como “insegura”.
La seguridad que ofrecen las empresas a sus clientes sobre sus datos en internet ha vuelto a quedar en entredicho. El pasado fin de semana un solo ‘hacker’ era capaz de acceder a los datos personales de casi cinco millones de personas y más de 200.000 niños usuarios del fabricante de juguetes electrónicos Vtech. El suceso ha sido catalogado como el cuarto mayor robo de datos personales de la historia, según HaveIBeenPwned. Su autor habría sido capaz de descargar más de 190 GB de fotos, ficheros de texto y audios grabados con los juguetes electrónicos de la firma. El material obtenido procede del servicio Kid Connect, que permite a los padres usar una aplicación en su smartphones para chatear con sus hijos si se usa una Tablet Vtech.
Algunas de las víctimas, al conocer la noticia, mostraron su indignación, especialmente por tratarse de una empresa dedicada a los niños, que debería cuidar si cabe con más mimo de lo habitual los datos recabados. Uno de los padres afectados se quejó de que, si no se puede confiar en una compañía cuyo principal objetivo de negocio son los niños, cómo fiarse de otras empresas con menos medios y otro tipo de clientes potenciales que también manejan infinidad de datos personales.
¿Cómo lo hizo?
Todavía se desconoce la fórmula empleada por el ‘hacker’, pero varios expertos en seguridad han explicado algunos de los errores de la compañía que podrían extenderse a más servicios. En especial, señalan a la aplicación Android relacionada con el servicio, Vtech Kid Connet (del que se extrayeron los 190 GB), según un experto en seguridad (con el alias Slipstream/RoL) que explicó en Twitter que no se sorprendía por el hackeo a Vtech.
Este mismo experto destacó que la firma utiliza mal su sistema de almacenamiento para los datos de los usuarios. En principio, el sistema (un algoritmo denominado MD5) en sí es seguro, salvo que se use el mismo nombre de la empresa, entonces pierde seguridad. Slipstream/RoL descubrió que la compañía almacena los nombres de los usuarios con la misma cadena: o “vtech” o “vtechvtech”.
El segundo gran problema tiene que ver con la protección de datos como las fotos y grabaciones de audio. Este especialista señala que la firma aplica una fórmula “insegura” que combina la hora y fecha de forma aleatoria, pero no es el único. «Los generadores de números aleatorios más débiles son más propensos a producir duplicados (por ejemplo, después de 65.000 imágenes),» explicó en Twitter Scott Arciszewski, director de desarrollo de la Iniciativa de Paragon Enterprises, una empresa de seguridad cibernética.