¿Un reloj de confianza? 6 relojes para niños en la prueba

Presunta protección tras la geovalla

En comparación con un simple geolocalizador, la aceptación es notablemente mayor entre los niños si este tiene forma de moderno reloj inteligente con funciones súper chulas. Los relojes para niños se comercializan correspondientemente como "reloj de aventurero". Estos relojes, al igual que los geolocalizadores corrientes, funcionan mediante una tarjeta SIM, que hay que adquirir adicionalmente y que mantiene un contacto permanente por ondas de radio con una aplicación del móvil de los padres. De este modo se puede localizar al niño, es decir, el reloj, aplicando el método de la triangulación mediante GPS con una precisión de casi un metro, según la cobertura de la red y el dispositivo. La ubicación se muestra en el móvil o a través de un servicio de Internet vinculado.

En las aplicaciones de la mayoría de los productos se pueden delimitar en un mapa zonas definidas como seguras, como el jardín propio o el camino al colegio, mediante la función de geovallado (geofencing). Si el reloj con GPS sale de estas zonas, este genera una alerta. De este modo se describe ya un problema en la localización de los niños: si el niño se quita el localizador o se lo quitan y este permanece en la "zona segura", los padres no recibirán ninguna alerta en su móvil. Algunos productos intentan solventar este problema enviando un mensaje a los padres si los niños se quitan el reloj, de modo semejante a las tobilleras electrónicas para delincuentes.

Algunos relojes no solo registran si un niño permanece en el trayecto delimitado digitalmente, sino también su velocidad de movimiento. De este modo, los padres pueden saber si su retoño remolonea de camino al colegio. Algunas aplicaciones guardan los trayectos recorridos y la velocidad de movimiento de los relojes durante largos periodos de tiempo de hasta un mes o más. De este modo se pueden establecer patrones de movimiento y regularidades durante largos periodos de tiempo; por desgracia, esta posibilidad está al alcance no solo de los padres.

Un teléfono en la muñeca

Gracias a la tarjeta SIM, muchos relojes para niños disponen de diversas funciones de comunicación, como el botón de emergencia. Si el niño se halla en una situación de peligro, este puede enviar un SOS apretando un botón del reloj. A continuación, en la aplicación de los padres se visualizará el aviso de socorro, se mostrará la ubicación momentánea del reloj y se establecerá una conexión telefónica, a través de la cual pueden hablar con el niño. Algunos relojes marcan el número de emergencia definido previamente cuando se pulsa el botón de emergencia. Puede tratarse del número de la madre, el padre, la abuela o también el de la policía. Algunos relojes ofrecen además una función de teléfono para números establecidos previamente. De este modo es posible telefonear con estos relojes infantiles pulsando un botón.

¿Dispositivos de escucha prohibidos?

Un fabricante promociona el uso oculto de la función de teléfono. Pero tras el elogiado "Remote Voice Monitoring" se esconde simple y llanamente una función de escucha. Con ella, los padres pueden activar un micro instalado en el reloj sin que el niño lo sepa y escuchar conversaciones en el entorno, por ejemplo, en el aula.  La máxima autoridad reguladora de la telecomunicación en Alemania consideró que esto iba demasiado lejos y, a finales de noviembre, la Agencia Federal de Redes alemana (en inglés) (Bundesnetzagentur) catalogó los relojes con semejantes funciones como "dispositivos de espionaje ilegales". Desde entonces, la venta, compra o posesión de relojes para niños con este tipo de funciones de teléfono secretas constituye delito en Alemania. Dicha autoridad exhortó además a los compradores a destruir este tipo de relojes.

De los localizadores para niños examinados aquí, solo uno, ANIO, ofrece este tipo de funciones de espionaje. No obstante, durante el examen en el laboratorio se comprobó que el fabricante ya había desactivado la función de escucha para la red telefónica alemana antes de la prohibición oficial. Ninguno de los restantes relojes para niños examinados ofrecía funciones de escucha y, por tanto, no se ven afectados por la prohibición de venta.

Muchas funciones, mucha vigilancia

Uno de los relojes infantiles examinados por AV-TEST supervisa las funciones vitales, entre ellas, el consumo de calorías y el ritmo de sueño del niño. La validez de la recopilación de estos datos no se comprobó en el marco de esta prueba de seguridad. Asimismo, el instituto AV-TEST no valora hasta qué punto todas estas funciones, al igual que la localización de los niños, tiene sentido desde el punto de vista pedagógico.

Aparte de todas estas funciones, los relojes indican, por supuesto, la hora y la fecha, en formato analógico o digital de manera opcional. De este modo, con estos productos, los niños también aprenden a leer la hora.

Seis relojes inteligentes con localizador para niños puestos a prueba

Estos son los seis relojes con GPS para niños que los expertos del laboratorio de AV-TEST examinaron bajo lupa:

• BELIO, reloj para niños con GPS, Países Bajos
• ANIO, Two WLAN Touch, Alemania
• CAT, CARL Kids, Alemania
• MyKi, reloj para niños con GPS/GSM, Bulgaria
• hellOO, reloj para niños, Países Bajos
• Pingonaut, Kidswatch, Alemania

Comunicación externa: ¡Llamada ajena a este número!

Ninguno de los relojes infantiles examinados cumple una de las funciones de protección fundamentales para los niños, a saber, que quien llame realmente sea quien indica el reloj. A la inversa se puede concluir que si el reloj indica al niño que la llamada o el mensaje de texto es de su madre, padre o abuela, esto no tiene por qué ser necesariamente así. En el laboratorio de pruebas, todos los relojes resultaron vulnerables al llamado call ID spoofing (cambio del identificador de llamadas). De este modo, los delincuentes manipulan las conexiones telefónicas a través de agujeros en el protocolo del teléfono del receptor de manera que aparece un número previamente seleccionado.

Dado que la comunicación de todos los dispositivos examinados se basa en Voice over IP, es decir, en telefonía a través de Internet, la simulación de identidades ajenas es aún más fácil que, por ejemplo, en las conexiones RDSI. La falsificación de identidades es posible mediante aplicaciones gratuitas, así como servicios en línea accesibles a cualquiera, como "SpoofTel". Este último ofrece incluso opciones para la modulación de la voz, con el fin de imitar voces conocidas.

¡Mantener secreto el número del niño a toda costa!

Para ser justos hay que decir que esta simulación de identidades no solo es posible con relojes para niños, sino también con cualquier smartphone. Pero, al contrario que los jóvenes que tienen un móvil, los niños que llevan un reloj inteligente son mucho más fáciles de engañar, para empezar por su menor edad, y constituyen, por tanto, un objetivo mucho más vulnerable.

Dado que los relojes funcionan solo con tarjetas SIM, cuya protección por PIN ha sido previamente desactivada, los ataques son aún más probables que en el caso de los móviles de los jóvenes. La prueba evidenció, además, que la tarjeta SIM de la mayoría de los relojes se puede extraer sin protección de hardware. Al no contar con la protección por PIN, a los atacantes les resulta fácil averiguar el número de teléfono correspondiente. Para ello solo tienen que introducir brevemente la tarjeta en su propio smartphone. Quien tenga el número de teléfono, puede también, por ejemplo, controlar el reloj remotamente mediante SMS. El reloj ANIO, por ejemplo, es vulnerable a esto, ya que su función de SMS solo está protegida mediante una contraseña estándar.

Por eso, en el caso de que se planteen el uso de relojes infantiles, los padres deberían encargarse, en cualquier caso, de que el número de la tarjeta SIM utilizada sea un secreto familiar celosamente guardado. Lo mismo hay que decir del número de móvil hasta que el niño tenga una determinada edad.

¡Controlar las aplicaciones de llamadas falsas!

El peligro que las llamadas bajo una falsa identidad suponen para los niños podría reducirse mediante la regulación de las  herramientas de spoofing disponibles libremente. Si bien el spoofing puede ser una útil herramienta para las pesquisas de periodistas o abogados, los cuerpos de policía de muchos países alertan de los delitos de fraude que se cometen mediante el spoofing. En Alemania, el spoofing se prohíbe, por ejemplo, en el párrafo 66k de la Ley de Telecomunicaciones alemana. Sería aconsejable regular claramente el correspondiente software de spoofing y los servicios en línea, que suelen ofrecerse en las tiendas como aplicaciones para gastar bromas y que registran un gran número de descargas.

Descodificada y manipulable

Pero los relojes infantiles revelaron en la prueba otros puntos débiles que ponen en riesgo la seguridad de los niños. Y es que la mitad de los fabricantes de relojes inteligentes para niños olvida algo que se da por hecho hasta para la comunicación de las aplicaciones más simples: ¡una comunicación codificada entre el reloj infantil, el servidor en la nube y la aplicación de los padres! Así, tres de los seis relojes examinados envían datos e información del reloj a la aplicación a través del servidor mediante conexiones no codificadas. Esto ofrece a los atacantes la posibilidad de interceptar y leer inadvertidamente la información que llega a la aplicación de los padres mediante un ataque de intermediario (MITM).

Esto significa también que los agresores que intervienen la comunicación entre el reloj y la aplicación pueden interceptar y evaluar información, como la ubicación momentánea del niño, las zonas seguras establecidas por los padres mediante la aplicación, mensajes entre el niño y los padres y mucho más. En el caso de uno de los relojes hay que sumar a esto los mencionados valores vitales, como el comportamiento de sueño. Gracias a la falta de codificación de la transmisión, los atacantes pueden asimismo manipular la comunicación entre los padres y el niño, que se asume de confianza. Les sería posible, por ejemplo, enviar falsos mensajes de texto.

Los relojes de los fabricantes BELIO, MyKi y Pingonaut al menos no fallaron en este punto de la prueba y protegen a sus portadores de los correspondientes ataques gracias a la comunicación codificada. El reloj ANIO envía sus datos a través de una conexión no codificada, sin embargo, estos datos no son visibles como texto claro ni para los atacantes. Los fabricantes CAT y hellOO, por el contrario, niegan a sus clientes la protectora codificación del tráfico de datos. En ambos casos, todo el proceso de registro y el uso de la aplicación por parte de los padres tienen lugar sin codificación. Esto permitió copiar en el laboratorio los datos de registro e inicio de sesión, así como los cambios de contraseña.

Las aplicaciones de los padres son vulnerables a intentos de espionaje

También la seguridad de las aplicaciones utilizadas para la comunicación entre los padres y el niño es decisiva y fue examinada en el laboratorio correspondientemente. En este aspecto mostraron asimismo lagunas dos tercios de los relojes. La aplicación de CAT suspendió en la prueba de la aplicación. Esto se debió, entre otras cosas, a que guardó los datos de acceso  en un archivo de log de la tarjeta SD del smartphone sin protección.

Los datos de acceso conseguidos de este modo ofrecen al agresor la posibilidad de captar la información sobre el movimiento de los niños o espiar y manipular la comunicación. Solo el proveedor Pingonaut y la oferta de ANIO pudieron convencer en este punto de la prueba. Las aplicaciones de BELIO, hellOO y MyKi revelaron ligeros puntos débiles.

Proteger los datos equivale a proteger a los niños

Los relojes recopilan durante el uso muchos datos y, sobre todo, sensibles: empezando por el número de teléfono del niño y de las personas de referencia pasando por los datos de ubicación hasta los datos vitales. Toda esta información permite elaborar extensos perfiles. Por eso, una buena protección de datos y, en correspondencia, una declaración de protección de datos detallada son imprescindibles. Sin embargo, la lectura de dicha declaración y la comprobación de las aplicaciones revelaron que solo los proveedores Pingonaut y ANIO garantizan suficientemente la protección de los datos de sus clientes. Ambos prometen en su declaración de protección de datos un tratamiento razonable de los datos del usuario. Pingonaut asegura el procesamiento anonimizado de los datos y excluye su transferencia a terceros. En la aplicación y en los servidores del fabricante se borra además automáticamente el historial de ubicaciones a los 30 días. En directa contraposición se sitúa la falta total de una declaración de protección de datos de hellOO. Los otros tres proveedores solo consiguieron un aprobado rascado en este punto. Así, por ejemplo, ninguno de los tres indica el tiempo que guardan los datos.

Conclusión

Los resultados de estas pruebas no son para nada tranquilizadores. Las posibilidades de un ataque que se derivan del call ID spoofing ya son suficientes para que el instituto AV-TEST no recomiende ninguno de los relojes infantiles con localizador por GPS examinados.

Dejando a un lado este riesgo general, solo la oferta de Pingonaut convenció a los examinadores. Una puntuación de dos estrellas consiguieron, al fin y al cabo, los productos de ANIO, BELIO y MyKi. Los relojes de los fabricantes hellOO y CAT suspendieron debido a graves carencias de seguridad y no obtuvieron ninguna de las tres estrellas posibles. Ambos productos revelaron graves deficiencias, no solo en el punto de la prueba sobre comunicación externa. Se reveló que también la seguridad de la aplicación de los dos proveedores, así como la carencia de una declaración de protección de datos de hellOO, están claramente por debajo de las exigencias.