Investigadores de seguridad descubrieron recientemente que el portal web asociado al juguete interactivo Bondu dejaba las conversaciones de los niños expuestas a cualquier persona con una cuenta de Gmail. El hallazgo, realizado por Joseph Thacker y Joel Margolis, reveló una vulnerabilidad crítica en la consola de administración del producto impulsado por inteligencia artificial.
El portal estaba destinado a que los padres supervisaran el uso y el personal monitoreara el rendimiento, pero la configuración de acceso permitía la lectura de historiales completos. Al iniciar sesión con una cuenta de Google arbitraria, los investigadores accedieron inmediatamente a transcripciones detalladas de las interacciones entre los niños y sus juguetes.
Los datos expuestos eran sensibles e incluían nombres de los menores, fechas de nacimiento, nombres de familiares y resúmenes de las conversaciones. Margolis y Thacker informaron a través de sus hallazgos que el juguete, diseñado para fomentar conversaciones íntimas, había expuesto datos personales de miles de usuarios.
Bondu confirmó a los investigadores que más de 50.000 transcripciones de chat estaban disponibles a través de esta consola web abierta. Esta cifra representa prácticamente todas las conversaciones registradas por los dispositivos, salvo aquellas eliminadas manualmente por padres o personal de la empresa.
La brecha de seguridad no requirió técnicas avanzadas de piratería, sino simplemente el uso de credenciales válidas de Google para acceder a un recurso público. Este incidente subraya los riesgos inherentes a la recopilación de datos en dispositivos diseñados para interactuar con audiencias infantiles.
El caso pone de relieve la necesidad urgente de implementar protocolos de autenticación estrictos en plataformas que manejan información personal de menores. La confianza en los dispositivos conectados a IA para niños depende directamente de la solidez de sus mecanismos de protección de datos.
Se espera que este incidente impulse una revisión de las prácticas de seguridad en el sector de los juguetes inteligentes y la tecnología educativa. La protección de la privacidad infantil en entornos digitales sigue siendo un desafío técnico y regulatorio significativo.
