El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, ha presentado hoy un informe innovador sobre la seguridad de los juguetes conectados, convirtiéndose en el primer organismo europeo en realizar un análisis exhaustivo conforme a los criterios de la Ley de Ciberresiliencia (CRA) de la Unión Europea. Este informe se enmarca dentro de las acciones que España lidera para garantizar la protección de consumidores y empresas frente a las vulnerabilidades de los dispositivos con componentes digitales.
La Ley de Ciberresiliencia de la UE (CRA) ha entrado en vigor en diciembre de 2024 y cuenta con un periodo de transición y adopción de tres años. A partir de ahí, será obligatorio su cumplimiento para
fabricantes y distribuidores de productos que se comercialicen en la UE. Así mismo, los estados
miembros tendrán que llevar a cabo un nivel de inspección entre el 3% y el 10% de los productos del
mercado, dependiendo del riesgo, criticidad del producto, categoría y el volumen en mercado.
Por ello, España, a través de INCIBE, es el primer país europeo en hacer este análisis, en la actual fase
voluntaria.
El acto, celebrado en la sede de INCIBE en León, ha contado con la Transformación Digital y Función Pública, D. Óscar López Águeda, y del Secretario de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, D. Antonio Hernando Vera.
En su intervención, el ministro López Águeda destacó: «Con este informe, España refuerza su liderazgo en la implementación de la Ley de Ciberresiliencia, no solo cumpliendo con los estándares europeos, sino adelantándonos a sus exigencias. Los juguetes conectados son una muestra de cómo la tecnología puede ser aliada del ocio y el aprendizaje, siempre que se utilicen de forma segura. Este esfuerzo conjunto con
fabricantes y consumidores es fundamental para proteger especialmente a los más vulnerables, nuestros
niños».
Resultados clave del informe
Para realizar el estudio, INCIBE ha seleccionado 26 juguetes inteligentes, teniendo en cuenta los más
vendidos en las plataformas online. Estos juguetes tienen capacidad de manejar datos del usuario:
grabación de video o audio, conexión bluetooth o wifi o aplicación móvil para el manejo del dispositivo.
Por ello, se han evaluado sus vulnerabilidades y se han identificado requisitos de mejora para los
fabricantes, reforzando aspectos clave de protección, garantizando que el producto cumpla con los más
altos estándares de seguridad y fiabilidad de los productos analizados.
Igualmente se han acompañado de recomendaciones para ofrecer a los consumidores un una experiencia
de uso segura y de calidad. En el estudio se ofrece la siguiente información y resultados:
Puntos críticos identificados: En algunos productos se han encontrado problemas como
configuraciones inseguras por defecto, que pueden permitir la transmisión insegura de datos
sensibles como contraseñas, deficiencias en la implementación de actualizaciones de seguridad
o aplicaciones móviles vulnerables, que podrían permitir la explotación de vulnerabilidades e
incluso el control remoto del dispositivo por parte de atacantes.Vectores de ataque evaluados: se han evaluado 8 áreas clave, dividendo los juguetes según
sus tecnologías de conexión y superficies de exposición: análisis de vulnerabilidades y
capacidades de actualización para su remediación, examen de las aplicaciones móviles y/o de
escritorio necesarias para las funcionalidades del juguete, análisis de fortaleza frente a ataques
comunes, y análisis de la seguridad de conexiones físicas e inalámbricas.
Propuestas de mejora: Sugerencias para familias y fabricantes para reforzar la ciberseguridad
y la confianza digital, alineadas con la Ley Europea de Ciberresiliencia (CRA).
Durante la presentación, se realizó una demostración en directo para ilustrar cómo un atacante podría
comprometer un coche de juguete teledirigido y utilizarlo como puente para acceder a otros
dispositivos en la red doméstica. Este ejercicio práctico puso de manifiesto la relevancia de fortalecer
las medidas de protección en productos dirigidos al público infantil.