Un ataque a los servidores de la empresa juguetera Vtech el pasado 14 de noviembre ha dejado al descubierto los datos de 5 millones de padres y más de 200.000 niños. Nombres, direcciones físicas, contraseñas y correos electrónicos figuran entre el botín capturado por los atacantes, uno de los cinco mayores jamás perpetrados y especialmente sensible por la presenciad e información personal de menores de edad.

La información, según recoge la publicación Motherboard, formaba parte del servicio Learning Lodge, un portal que utilizan cada vez más juguetes de Vtech,fundamentalmente tabletas y ordenadores educativos, para descargar aplicaciones, juegos, libros electrónicos o ejercicios. Este tipo de juguetes a menudo obliga a crear una cuenta en un servidor para poder acceder a ciertas funciones avanzadas o programas adicionales. En la mayoría de los casos sólo se pide la información de los padres pero algunos de ellos también incluyen actividades y programas para los que es necesario crear un perfil digital de los pequeños.

La compañía asegura que no se han robado datos de tarjetas de crédito pero entre los datos robados sí figuran las preguntas y respuestas de seguridad que suelen utilizarse para recuperar las contraseñas en caso de olvido, preguntas que suelen contener datos más específicos -y por tanto valiosos- de los usuarios. La empresa ha creado un correo electrónico (informacion@vtech.com) para atender las dudas de los afectados.

Según Vtech las contraseñas de acceso estaban almacenadas de forma cifradapero Troy Hunt, reconocido por Microsoft como uno de los mayores expertos en seguridad y desarrollo, apunta a que este cifrado es trivial y no ofrece protección real. "La mayoría de contraseñas se puede descubrir en muy poco tiempo. Este tipo de cifrado -conocido como MD5 Hash- es lo casi lo peor que puedes hacer en seguridad. Lo único peor es no usar ningún tipo de cifrado", asegura. La empresa ha modificado la seguridad de la base de datos de Learning Lodge y añadido un cifrado más potente durante el fin de semana.

En declaraciones a Motherboard el responsable del ataque aseguró que entrar en los servidores de la compañía y conseguir status de administrador fue "muy sencillo". Los datos obtenidos pueden consultarse en la web haveibeenpwned.com, un servicio que recopila la información obtenida en los ataques a bases de datos, como el reciente caso del servicio de citas Ashley Madison. El atacante ha asegurado que no planea vender los datos y no ha hecho pública la información de los menores.

Este suceso resalta el riesgo asociado a los juguetes avanzados que requieren conexión a la red o perfiles de usuario, una nueva preocupación para un segmento de la industria juguetera que crece casi un 10% al año, según la consultora NPD, impulsada entre otras causas por la mayor familiaridad de los pequeños con los productos de electrónica digital que usan los padres, como tabletas y smartphones. Muchas compañías jugueteras no tienen la experiencia acumulada de las grandes empresas tecnológicas a la hora de administrar bases de datos en la red y en ocasiones no siguen las prácticas de seguridad recomendadas, como el uso de transmisiones cifradas entre el juguete y el servidor remoto.