Uns nens jugant amb joguines intel·ligents (Getty images)

L’Institut Nacional de Ciberseguretat (INCIBE), entitat dependent del Ministeri espanyol per a la Transformació Digital i de la Funció Pública, a través de la Secretaria d’Estat de Telecomunicacions, Infraestructures Digitals i Seguretat Digital, ha presentat fa pocs dies un informe innovador sobre la seguretat de les joguines connectades, convertint-se en el primer organisme europeu a realitzar una anàlisi exhaustiva conforme als criteris de la Llei de Ciberresiliència (CRA) de la Unió Europea. Aquest informe s’emmarca dins de les accions que Espanya lidera per a garantir la protecció de consumidors i empreses enfront de les vulnerabilitats dels dispositius amb components digitals.

La Llei de Ciberresiliència de la UE (CRA) ha entrat en vigor recentment -al desembre de 2024- i compta amb un període de transició i adopció de tres anys. A partir d’aquí, serà obligatori el seu compliment per a fabricants i distribuïdors de productes que es comercialitzin a la UE. Així mateix, els estats membres hauran de dur a terme un nivell d’inspecció entre el 3% i el 10% dels productes del mercat, depenent del risc, criticitat del producte, categoria i el volum en mercat. Per això, Espanya, a través de l’INCIBE, és el primer país europeu a fer aquesta anàlisi, en l’actual fase voluntària.

L’acte de presentació de l’informe, celebrat en la seu de l’INCIBE a Lleó, va comptar amb la presència del ministre espanyol de Transformació Digital i Funció Pública, Óscar López Águeda, i del secretari d’Estat de Telecomunicacions, Infraestructures Digitals i Seguretat Digital, Antonio Hernando Vera.

En la seva intervenció, el ministre López Águeda va destacar: “Amb aquest informe, Espanya reforça el seu lideratge en la implementació de la Llei de Ciberresiliència, no sols complint amb els estàndards europeus, sinó avançant-nos a les seves exigències. Les joguines connectades són una mostra de com la tecnologia pot ser aliada de l’oci i l’aprenentatge, sempre que s’utilitzin de manera segura. Aquest esforç conjunt amb fabricants i consumidors és fonamental per a protegir especialment els més vulnerables, els nostres nens”.





Resultats clau de l’informe

Per a realitzar l’estudi, l’INCIBE ha seleccionat 26 joguines intel·ligents, tenint en compte les més venudes en les plataformes en línia. Aquestes joguines tenen capacitat de manejar dades de l’usuari: gravació de vídeo o àudio, connexió bluetooth o wifi o aplicació mòbil per al maneig del dispositiu.

Per això, s’han avaluat les seves vulnerabilitats i s’han identificat requisits de millora per als fabricants, reforçant aspectes clau de protecció, garantint que el producte compleixi amb els més alts estàndards de seguretat i fiabilitat dels productes analitzats.

Igualment s’han acompanyat de recomanacions per a oferir als consumidors una experiència d’ús segura i de qualitat.





En l’estudi s’ofereix la següent informació i resultats:

– Punts crítics identificats: En alguns productes s’han trobat problemes com a configuracions insegures per defecte, que poden permetre la transmissió insegura de dades sensibles com a contrasenyes, deficiències en la implementació d’actualitzacions de seguretat o aplicacions mòbils vulnerables, que podrien permetre l’explotació de vulnerabilitats i, fins i tot, el control remot del dispositiu per part d’atacants.

– Vectors d’atac avaluats: S’han avaluat 8 àrees clau, dividint les joguines segons les seves tecnologies de connexió i superfícies d’exposició: anàlisi de vulnerabilitats i capacitats d’actualització per a la seva remediació, examen de les aplicacions mòbils i/o d’escriptori necessàries per a les funcionalitats de la joguina, anàlisi de fortalesa enfront d’atacs comuns, i anàlisis de la seguretat de connexions físiques i sense fils.



– Propostes de millora: Suggeriments per a famílies i fabricants per a reforçar la ciberseguretat i la confiança digital, alineades amb la Llei Europea de Ciberresiliència (CRA).

Durant la presentació, es va realitzar una demostració en directe per a il·lustrar com un atacant podria comprometre un cotxe teledirigit de joguina i utilitzar-lo com a pont per a accedir a altres dispositius en la xarxa domèstica. Aquest exercici pràctic va posar de manifest la rellevància d’enfortir les mesures de protecció en productes dirigits al públic infantil.





Compromís amb la seguretat digital

L’informe és part d’una estratègia més àmplia de l’INCIBE per a col·laborar estretament amb fabricants i fomentar la innovació responsable. A més, per a més informació, es pot accedir a la “Guia per a l’ús segur de Joguines Connectades”, llançada en 2018 al costat de l’Associació Espanyola de Fabricants de Joguines, que consolida a l’INCIBE com a referent en ciberseguretat per a menors.





