León, 13 de diciembre de 2024.- El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, ha presentado hoy un informe innovador sobre la seguridad de los juguetes conectados, convirtiéndose en el primer organismo europeo en realizar un análisis exhaustivo conforme a los criterios de la Ley de Ciberresiliencia (CRA) de la Unión Europea. Este informe se enmarca dentro de las acciones que España lidera para garantizar la protección de consumidores y empresas frente a las vulnerabilidades de los dispositivos con componentes digitales.
La Ley de Ciberresiliencia de la UE (CRA) ha entrado en vigor en diciembre de 2024 y cuenta con un periodo de transición y adopción de tres años. A partir de ahí, será obligatorio su cumplimiento para fabricantes y distribuidores de productos que se comercialicen en la UE. Así mismo, los estados miembros tendrán que llevar a cabo un nivel de inspección entre el 3% y el 10% de los productos del mercado, dependiendo del riesgo, criticidad del producto, categoría y el volumen en mercado.
Por ello, España, a través de INCIBE, es el primer país europeo en hacer este análisis, en la actual fase voluntaria.
El acte, celebrat en la seu d'INCIBE a Lleó, ha comptat amb la presència del ministre de Transformació Digital i Funció Pública, Óscar López, i del secretari d'Estat de Telecomunicacions, Infraestructuras Digitales i Seguridad Digital, Antonio Hernando.
En la seva intervenció, el ministre va destacar: "Amb aquest informe, España reforça el seu lideratge en la implementació de la Llei de Ciberresiliencia, no sols complint amb els estàndards europeus, sinó avançant-nos a les seves exigències. Les joguines connectades són una mostra de com la tecnologia pot ser aliada de l'oci i l'aprenentatge, sempre que s'utilitzin de manera segura. Aquest esforç conjunt amb fabricants i consumidors és fonamental per a protegir especialment dels més vulnerables, els nostres nens".
Resultats clau de l'informe
Per a realitzar l'estudi, INCIBE ha seleccionat 26 joguines intel·ligents, tenint en compte els més venuts en les plataformes online. Aquestes joguines tenen capacitat de manejar dades de l'usuari: enregistrament de vídeo o àudio, connexió bluetooth o wifi o aplicació mòbil per al maneig del dispositiu.
Per això, s'han avaluat les seves vulnerabilitats i s'han identificat requisits de millora per als fabricants, reforçant aspectes clau de protecció, garantint que el producte compleixi amb els més alts estàndards de seguretat i fiabilitat dels productes analitzats. Igualment s'han acompanyat de recomanacions per a oferir als consumidors una experiència d'ús segura i de qualitat.
En l'estudi s'ofereix la següent informació i resultats:
Puntos crítics identificats: en alguns productes s'han trobat problemes com a configuracions insegures per defecte, que poden permetre la transmissió insegura de dades sensibles com a contrasenyes, deficiències en la implementació d'actualitzacions de seguretat o aplicacions mòbils vulnerables, que podrien permetre l'explotació de vulnerabilitats i fins i tot el control remot del dispositiu per part d'atacants.
Vectores de ataque evaluados: se han evaluado 8 áreas clave, dividiendo los juguetes según sus tecnologías de conexión y superficies de exposición: análisis de vulnerabilidades y capacidades de actualización para su remedio, examen de las aplicaciones móviles y/o de escritorio necesarias para las funcionalidades del juguete, análisis de fortaleza frente a ataques comunes, y análisis de la seguridad de conexiones físicas e inalámbricas.
Propostes de millora: suggeriments per a famílies i fabricants per a reforçar la ciberseguretat i la confiança digital, alineades amb la Llei Europea de Ciberresiliencia (CRA).
Durante la presentació, es va realitzar una demostració en directe per a il·lustrar com un atacant podria comprometre un cotxe de joguina teledirigida i utilitzar-lo com a pont per a accedir a altres dispositius en la xarxa domèstica. Aquest exercici pràctic va posar de manifest la rellevància d'enfortir les mesures de protecció en productes dirigits al públic infantil.
Compromiso amb la seguretat digital
L'informe és part d'una estratègia més àmplia d'INCIBE per a col·laborar estretament amb fabricants i fomentar la innovació responsable. A més, per a més informació, es pot accedir a la "Guía per a l'ús segur de Juguetes Conectados", llançada en 2018 al costat de l'Associació Espanyola de Fabricants de Joguines, que consolida a INCIBE com a referent en ciberseguretat per a menors.