Este informe se enmarca dentro de las acciones que España lidera para garantizar la protección de consumidores y empresas frente a las vulnerabilidades de los dispositivos con componentes digitales.
La Ley de Ciberresiliencia de la UE (CRA) ha entrado en vigor en diciembre de 2024 y cuenta con un periodo de transición y adopción de tres años. A partir de ahí, será obligatorio su cumplimiento para fabricantes y distribuidores de productos que se comercialicen en la UE. Así mismo, los estados miembros tendrán que llevar a cabo un nivel de inspección entre el 3% y el 10% de los productos del mercado, dependiendo del riesgo, criticidad del producto, categoría y el volumen en mercado.
El acto, celebrado en la sede de INCIBE en León, ha contado con la presencia del ministro de Transformación Digital y Función Pública, Óscar López, y del secretario de Estado de Telecomunicaciones, Infraestructuras Digitales y Seguridad Digital, Antonio Hernando.
Resultados clave del informe
Para realizar el estudio, INCIBE ha seleccionado 26 juguetes inteligentes, teniendo en cuenta los más vendidos en las plataformas online. Estos juguetes tienen capacidad de manejar datos del usuario: grabación de video o audio, conexión bluetooth o wifi o aplicación móvil para el manejo del dispositivo.
Por ello, se han evaluado sus vulnerabilidades y se han identificado requisitos de mejora para los fabricantes, reforzando aspectos clave de protección, garantizando que el producto cumpla con los más altos estándares de seguridad y fiabilidad de los productos analizados. Igualmente se han acompañado de recomendaciones para ofrecer a los consumidores una experiencia de uso segura y de calidad.
El estudio ha mostrado los siguientes resultados e información:
- Puntos críticos identificados: en algunos productos se han encontrado problemas como configuraciones inseguras por defecto, que pueden permitir la transmisión insegura de datos sensibles como contraseñas, deficiencias en la implementación de actualizaciones de seguridad o aplicaciones móviles vulnerables, que podrían permitir la explotación de vulnerabilidades e incluso el control remoto del dispositivo por parte de atacantes.
- Vectores de ataque evaluados: se han evaluado 8 áreas clave, dividiendo los juguetes según sus tecnologías de conexión y superficies de exposición: análisis de vulnerabilidades y capacidades de actualización para su remedio, examen de las aplicaciones móviles y/o de escritorio necesarias para las funcionalidades del juguete, análisis de fortaleza frente a ataques comunes, y análisis de la seguridad de conexiones físicas e inalámbricas.
- Propuestas de mejora: sugerencias para familias y fabricantes para reforzar la ciberseguridad y la confianza digital, alineadas con la Ley Europea de Ciberresiliencia (CRA).
Compromiso con la seguridad digital
El informe es parte de una estrategia más amplia de INCIBE para colaborar con fabricantes y fomentar la innovación responsable. Además, en 2018 se lanzó la "Guía para el uso seguro de Juguetes Conectados", junto a la Asociación Española de Fabricantes de Juguetes, donde se ofrece más información sobre este ámbito.
