El fin de semana nos enteramos del hackeo sufrido por la empresa VTech en sus servidores y cómo un hacker había logrado acceder a los datos personales de casi 5 millones de padres y más de 200.000 niños. Ese, no obstante, no ha sido el final de la historia.

El mismo hacker que lograba esos datos ha comentado que además en ese acceso fue capaz de descargar 190 GB de fotos y ficheros de texto y audio grabados con los juguetes electrónicos del fabricante. Y no solo eso: un experto en seguridad añadía que la aplicación para Android es también insegura a la hora de transferir los datos entre ella y esos servidores.

Acceso indiscriminado a fotos de niños y padres

Los 190 GB de datos proceden del servicio Kid Connect, que permite a los padres usar una aplicación en sus smartphones para chatear con sus hijos si usan una tablet de VTech. Entre las opciones de este cliente de mensajería está la de tomar una foto del usuario para guardarla en su perfil.

El hacker detectó decenas de miles de fotos de padres y niños y envió una muestra de casi 4.000 de ellas a Motherboard para verificar su descubrimiento, pero también indicó que no pretendía publicar o vender esos datos. "Francamente, me pone enfermo haber logrado todo este material", comentaba este experto en seguridad. Entre los datos también estaban mensajes intercambiados entre padres e hijos, así como ficheros de audio grabados con las aplicaciones de estos dispositivos.

El problema se extiende a la aplicación para Android relacionada con el servicio, VTech Kid Connect (disponible en Google Play) que otro experto en seguridad con el alias slipstream/RoL logró estudiar por ingeniería inversa y en la que detectó problemas graves en el código Javascript con el que estaba desarrollada.

El primer problema era el que nombre de usuario era almacenado con un hash MD5 que usaba siempre la misma cadena: o bien "vtech" o bien "vtechvtech", algo que hacía que este algoritmo que ya ha sido criticado por su debilidad sea aún más propenso a no proteger debidamente esos datos.

Pero además de ello al enviarse fotos y grabaciones de audio la aplicación combina la hora y fecha con un generador pseudoaleatorio de números, algo que según este experto "es un método criptográficamente inseguro". Este tipo de generadores "son más propensos a producir números repetidos (por ejemplo tras 65.000 imágenes)", explicaba, algo que hacía también bastante inseguro la protección de estos datos tan sensibles. Como slipstream/RoL comentaba "veamos, usa un cifrado malo, envía el hash en el inico de sesión, y fue hackeado. Sí, no tiene buena pinta".

Vía | Motherboard
En Xataka | Hackers hackeados: 400GB de datos filtrados, el CNI y la Policía Nacional supuestos clientes

La firma VTech es muy conocida en nuestro país, donde este fabricante distribuye desde hace tiempo juguetes con un importante componente electrónico además de tabletas, teléfonos o dispositivos de monitorización para niños.

Ahora se ha descubierto que los clientes de esta firma se han visto afectados por un problema de seguridad en los servidores de la empresa china. La irrupción en la base de datos ha hecho que queden expuestos los datos de 5 millones de padres y de más de 200.000 6,3 millones (dato actualizado) de niños en todo el mundo.

Problemas de seguridad en VTech

Según la plataforma Have I Been Pwned, esta es el cuarto ciberataque más importante de este tipo en el que están afectados los datos de los usuarios finales. El responsable del ataque, que indicaba que no pretendía hacer "nada" con esos datos, informó a la publicación online Motherboard, que a su vez informó a este fabricante.

El propio hacker explicó a Motherboard que la vulnerabilidad utilizada era un conocido ataque de inyección SQL e indicó que la base de datos "fue bastante sencilla de volcar, así que alguien con una motivación más oscura podría obtenerla fácilmente". VTech no confirmó la naturaleza del problema.

El experto en seguridad Troy Hunt, responsable del sitio Have I Been Pwned, explicaba que en la base de datos extraída había cerca de 5 millones de direcciones de correo en las que además había asociadas contraseñas con un hash MD5, algo que en realidad no ofrece apenas protección. Si creéis que estáis afectado, podéis introducir vuestra dirección de correo en este formulario, y de ser así, lo ideal es cambiarla lo antes posible y también cambiarla en otros sitios en los que reutilizáseis esos mismos datos.

Vía | Motherboard
En Xataka | Una semana en la deep web. Esto es lo que me he encontrado

Los teléfonos inalámbricos siguen evolucionando, a pesar de que cada vez las líneas móviles se imponen más a las fijas. Y siguiendo el razonamiento de que si no puedes con tu enemigo únete a él, el VTech LS6245 incorpora Bluetooth, de forma que lo podemos usar para realizar llamadas a través del móvil. El Bluetooth permite también usar auriculares inalámbricos para realizar las llamadas.

Destaca de este teléfono un diseño elegante, que se complementa con una serie de botones táctiles, no solo en el propio terminal, sino también en la base. Esta incorpora, además, una pantalla LCD que nos permite controlarlo más fácilmente. Desde ella podremos gestionar los contactos que almacenemos en el teléfono, hasta un total de cien.

Con una sola base podremos manejar hasta doce terminales, permitiendo utilizar el sistema como contestador automático y para la grabación de conversaciones. Pero el VTech LS6245 también quiere ofrecer una buena calidad de sonido. Por ello, utiliza DECT 6.0 y un sistema que no interfiere con las redes Wi-Fi que tengamos en casa.

Estará disponible a partir de julio de este año y tendrá un precio de 80 dólares.

Más información | VTechPhones.

El VTech IS6110 no es un teléfono móvil, aunque lo pueda parecer, sino un clásico y tradicional teléfono fijo, aunque eso sí, inalámbrico. Bueno, tan clásico y tradicional no es, porque a las funciones típicas de estos teléfonos se le añaden otras, propiciadas por el teclado QWERTY que incluye.

Además de llamar por teléfono, utilizando tecnología DECT 6.0, que ofrece una mejor calidad de sonido, puede utilizarse como un cliente de mensajería instantánea, siendo compatible con Windows Live Messenger y AOL Instant Messenger. Para ello, solo necesitamos conectar la base al ordenador a través de un puerto USB.

Otras de las funcionalidades que lo acercan a los móviles es la posibilidad de asignar tonos de llamada a partir de ficheros MP3, por lo que no tendremos que aguantar más el clásico ring ring. Puede almacenar hasta 50 números en su agenda e incluye un conector para manos libres de 2.5 milímetros.

Su precio es de 99.95 dólares.

Vía | Slashphone. Más información | VTech Phones.

VTech es conocida por sus juguetes electrónicos principalmente, así que hoy me ha sorprendido ver este producto suyo llamado LS5145, que viene a ser un teléfono inalámbrico que funciona por Bluetooth, lo cual le añade una gran ventaja: permite además funcionar como teléfono móvil y enviar y recibir llamadas como tal.

Me explico: el LS5145 funciona de forma normal como teléfono fijo (inalámbrico a través de Bluetooth claro) de nuestra casa. Sin embargo puede conectarse al teléfono móvil a través de la misma conectividad, y enviar y recibir las llamadas como si estuviésemos en el terminal móvil.

Hablando del precio, ya está disponible y un teléfono más una base para conectarlo cuesta 150 dólares. Pemite hasta 12 terminales por base y cuesta 80 dólares cada unidad.

Vía | DigitalTrends. Más información | VTechPhones.

Desde luego por lo que más destaca a primera vista el Vtech 6032 es por el parecido del teclado al del Motorola V3. De hecho, si no nos dicen la marca casi podríamos haberlo confundido por uno de los móviles de Motorola, aunque en realidad se trata de un teléfono inalámbrico para el hogar.

A parte de eso, el resto de sus características no son nada que no podamos encontrar en otros teléfonos inalámbricos, aunque resaltaríamos el el sistema DECT 6.0 que permite ofrecer mucha más calidad y claridad en la conversación sin interferencias con otros dispositivos que funcionen en la misma frecuencia de emisión. Concretamente, aseguran que no provoca problemas con las redes Wi-Fi.

Dispone de identificación de llamadas y de un contestador automático digital. Su precio es de 59.95 dólares.

Vía | Uncrate.