Por Fernanda Pizarro Muñoz*.
Para entender lo que es un “Smart Toy” debemos necesariamente referirnos al “Internet de las Cosas” o “IoT” por sus siglas en inglés.
Los dispositivos IoT son objetos físicos diseñados para interconectarse mediante tecnologías como Internet o Bluetooth, permitiendo el intercambio de datos en tiempo real. Hoy en día, -casi- cualquier objeto puede integrar esta tecnología, desde máquinas industriales hasta juguetes para niños.
Los smart toys son juguetes que incorporan tecnología IoT, lo que les permite conectarse a una red y responder a la interacción de los usuarios mediante sensores. A menudo incluyen cámaras de video, micrófonos y software de inteligencia artificial, lo que les otorga funcionalidades avanzadas, pero también los convierte en potenciales riesgos para la ciberseguridad y la privacidad. Estos dispositivos no solo interactúan con los usuarios, sino que también almacenan, procesan y transmiten datos, por lo que, sin medidas de protección adecuadas, pueden convertirse en blancos fáciles para ciberdelincuentes.
Según un informe publicado por Phosphorus Labs llamado “xIoT Threat & Trend Report 2022”, un 68% de dispositivos IoT tiene vulnerabilidades críticas, debido a la falta de visión de los negocios para priorizar el desarrollo de seguridad digital y la fuerte dependencia de softwares de código abierto (open source). Esto último a su vez, dice relación con la cadena de proveedores de software que, aportan innovación y también grandes riesgos para sus clientes.
Para nosotros, comunes mortales, los dispositivos IoT son un punto ciego de ciberseguridad. Asumimos que todo está en orden y bien protegido porque, bueno … ¿cómo no iban a estarlo?
Pero aquí está el problema: cuando un juguete es “inteligente”, significa que está conectado. Ya sea por Bluetooth o internet, estos dispositivos se comunican con otros sistemas, almacenan datos en servidores de sus fabricantes o dependen de software de terceros. Muchos de estos juguetes cuentan con sensores de movimiento, micrófonos, auriculares, cámaras de video y, por supuesto, contraseñas que, seamos honestos, no siempre son las más seguras.
El caso CloudPets: Juguete con fallas.
Y esto nos lleva al caso de CloudPets: tiernos peluches abrazables, diseñados para que padres e hijos envíen mensajes de voz a través de una app cuando están lejos. El problema fue que, detrás de esta aparente inocencia, había una pesadilla de compliance que explotó el 2017, cuando un aficionado a la ciberseguridad descubrió que las más de 2.2 millones de grabaciones de audio y 800,000 cuentas de usuarios contaban con mínima o nula protección y que, por tanto, estaban expuestos abiertamente en la red. ¡Así es! la base de datos estaba en el servidor de la empresa y se podía acceder a ella sin necesidad de contraseña ni cortafuegos, de hecho, no era necesario ser un hacker para obtener toda esa información.
Las cuentas de los usuarios contenían identificación de los adultos y niños que usaban el peluche, números de teléfono, dirección e incluso fotografía del niño “dueño” del juguete, todo accesible a través de herramientas comunes de exploración web.
Tras cientos de reclamos, la empresa intentó desmentir la brecha de seguridad, pero los usuarios ya tenían pruebas tangibles de la gravedad del asunto. El daño ya estaba hecho. La empresa quebró un año después, sin asumir responsabilidad o compensar a los usuarios. Lo más grave, sus datos simplemente continuaron publicados, sin contraseñas y probablemente respaldados por cientos de personas con “dudosas intenciones”.
Otro ejemplo de Juguetes con fallas de diseño es la muñeca “My Friend Cayla”, cuya venta fue prohibida en Alemania el 2017, donde se hizo una fuerte campaña mediática para que las familias destruyeran o desmantelaran las que se tuvieren en casa. Esta reacción del gobierno alemán se debió a que, de acuerdo con las leyes del país, es ilegal crear, vender o poseer artículos de espionaje que se hagan pasar por otro tipo de objetos (como la muñeca).
Cayla obedecía órdenes verbales sencillas de sus dueños, desde la app de un celular, y gracias al mecanismo de reconocimiento de voz que embebido en ella. Todo muy emocionante hasta que un estudiante universitario notó que cualquiera podía conectarse a la muñeca ya que no tenía ninguna contraseña.
Pero incluso anterior a esta medida, el 2015, la muñeca “Hello Barbie” ya era capaz de conversar con niños, grabar estas conversaciones y guardarlas en la nube para aprender a dar mejores respuestas. ¿El problema? Las conexiones con el servidor no estaban cifradas y además, terceras personas eran capaces de controlar la muñeca a distancia.
En Chile, estos tipos de juguetes están siendo cada vez más populares. No es difícil comprar drones controlados por aplicaciones de celular, robots educativos como Lego Mindstorm, peluches como Furby Connect o Kits de Robótica para que los niños puedan crear su robot y controlarlo a través de internet, aunque suelen tener precios elevados en comparación a las versiones tradicionales o “análogas”.
¿Juguemos con los datos?
El Instituto Nacional de Ciberseguridad (INCIBE) evaluó algunos Smart Toys populares en España, revelando que solo el 57% superó las pruebas de ciberseguridad, mientras que otro informe publicado en enero de 2025 por BitLife Media señala que 2 de cada 10 juguetes conectados tienen fallos críticos de seguridad, lo que permite a atacantes acceder a conversaciones privadas, rastrear la ubicación de los usuarios e incluso tomar el control remoto de los dispositivos.
Estos datos demuestran la persistente falta de regulación efectiva en el sector, así como la urgente necesidad de establecer estándares más estrictos para la seguridad en dispositivos conectados dirigidos a menores de edad.
El resultado: un desastre que no solo afectó a la empresa, sino que dejó en evidencia lo poco preparados que estamos para proteger nuestra privacidad en la era digital.
Entonces, el llamado para los usuarios y sus padres o tutores es a ponerse el sombrero de Compliance Officer de sus hijos, cambiar periódicamente las contraseñas de los juguetes e investigar antes de comprar: ¿El juguete tiene conexión a bluetooth o internet? ¿dónde se almacenan esos datos? ¿cómo se almacenan? ¿están encriptados? ¿están protegidos con contraseñas importantes? ¿cuáles son las políticas de seguridad de esos datos?
Por otro lado, la responsabilidad de la empresa es legal y ética en materia de ciberseguridad. Cualquier falla o vulnerabilidad en sus sistemas no solo va a dañar gravemente su reputación, sino incluso llevarlas a la quiebra en tiempo récord. La confianza del usuario es frágil, y una sola brecha de datos puede traducirse en pérdidas millonarias, sanciones regulatorias y un daño irreparable a su credibilidad.
Es fundamental que las organizaciones prioricen la protección de los datos y sistemas, implementando medidas robustas, actualizadas y alineadas con los estándares internacionales. ¡Seamos conscientes de la importancia de la ciberseguridad y asumamos este compromiso con seriedad!
La Seguridad y la Privacidad no son opcionales, deben integrarse desde el diseño del producto (Security by Design & Privacy by Design), y su cumplimiento debe monitorearse constantemente. Las regulaciones ya no pueden ser vistas como máximos inalcanzables, sino como estándares mínimos de calidad, en especial cuando hablamos de proteger datos de menores.
Y si ya no es un juego de niños, entonces ¿por qué actuamos como si -aún- lo fuera?
*Fernanda Pizarro Muñoz es abogada y magíster en derecho regulatorio y de la empresa. Consultora independiente Fintech, miembro de Women in Compliance Chile (WICC).
