INCIBE presenta un informe pionero sobre la seguridad de los juguetes conectados en el marco del Reglamento de Ciberresiliencia de la UE

13/12/2024
Image
Reglamento de Ciberresiliencia

El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública a través de la Secretaría de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, ha presentado hoy un informe pionero sobre la seguridad de los juguetes conectados. Con esta iniciativa, España se convierte en el primer país europeo en realizar un análisis conforme a los criterios del Reglamento de Ciberresiliencia (CRA) de la Unión Europea, en su actual fase voluntaria.

Este informe responde al compromiso de garantizar la protección de consumidores y empresas frente a las vulnerabilidades de los dispositivos con componentes digitales, una prioridad estratégica que España lidera a nivel europeo.

El Reglamento de Ciberresiliencia de la UE entró en vigor en diciembre de 2024, con un periodo de transición de tres años. A partir de su implementación, será obligatorio su cumplimiento por parte de fabricantes y distribuidores de productos que se comercialicen en la Unión Europea. Además, los Estados miembros deberán llevar a cabo inspecciones en un porcentaje de los productos del mercado, oscilando entre el 3% y el 10%, en función del riesgo, la criticidad, la categoría y el volumen de los productos.

Para realizar el análisis, INCIBE seleccionó 26 juguetes conectados, basándose en los productos más vendidos en plataformas online. Estos dispositivos, considerados juguetes inteligentes, cuentan con funcionalidades como grabación de video o audio, conexión bluetooth o wifi, o aplicaciones móviles para su manejo, lo que conlleva la gestión de datos personales de los usuarios.

En el estudio se ofrece la siguiente información y resultados:

  1. Puntos críticos identificados: en algunos productos se han encontrado problemas como configuraciones inseguras por defecto, que pueden permitir la transmisión insegura de datos sensibles como contraseñas, deficiencias en la implementación de actualizaciones de seguridad o aplicaciones móviles vulnerables, que podrían permitir la explotación de vulnerabilidades e incluso el control remoto del dispositivo por parte de atacantes.
  2. Vectores de ataque evaluadosse han evaluado 8 áreas clave, dividiendo los juguetes según sus tecnologías de conexión y superficies de exposición: análisis de vulnerabilidades y capacidades de actualización para su remedio, examen de las aplicaciones móviles y/o de escritorio necesarias para las funcionalidades del juguete, análisis de fortaleza frente a ataques comunes, y análisis de la seguridad de conexiones físicas e inalámbricas.
  3. Propuestas de Mejora: Se ofrecen recomendaciones tanto a familias como a fabricantes para reforzar la ciberseguridad y la confianza digital, alineadas con los estándares del Reglamento de Ciberresiliencia (CRA).
Ciberseguridad