domingo, marzo 22, 2015

Hello Barbie y seguridad informática

Hace unos días en el programa "En el aire" de Buenafuente hicieron un comentario acerca de la nueva muñeca de la empresa Mattel que permitiría mantener conversaciones con los niños. He estado indagando un poquito en diferentes medios de comunicación para comprobar exactamente de que se trataba. Por lo visto, la muñeca saldrá a la venta a mediados de septiembre de este año 2015 en EEUU a un precio de $74,95. Dispone de un software que al pulsar un botoncito de su cinturón permite que reconozca la conversación y responda, adaptándose a la propia conversación. Sus creadores aseguran que con el tiempo y el uso irá aprendiendo, y se ajustará a los temas de conversación que más le interesen al menor, que se supone será quien usará la muñeca.

Podéis ver un vídeo demostrativo de este juguete:

Vídeo 1: demostración Hello Barbie

Ahora os daré mis conclusiones técnicas referentes a la informática y la seguridad:

  1. La conexión
    El envío de datos se hará a través de wifi, pero será la wifi de nuestra casa, por lo que habrá que configurar la muñeca para que pueda conectarse a nuestro router. Supongo que vendrá con algún tipo de software y un cable usb para poder conectarla al ordenador y poderle meter nuestra clave del wifi, igual que lo podemos hacer con nuestro smartphone, tablet, portátil, etc., por lo que la seguridad del envío de datos dependerá de la seguridad de nuestra propia conexión. Si la tenemos configurada con WEP o con WPA/WPA2 sin cambiar la clave por defecto, podremos sufrir robos de información con un Man In The Middle y todo el audio enviado podrá ser capturado. ¿Qué pasará si conectamos la muñeca a la wifi del hotel, del Starbucks, Mcdonalds, del aeropuerto, ...? Otra opción es que sea por medio del WPS, con sus conocidos fallos de seguridad.
  2. El software
    Según las webs que he visitado para informarme, se comenta que lleva instalado un software que permite las conversaciones. Esto puede llevar a pensar que dispone de algún tipo de programa interno de Inteligencia Artificial. ¿Os acordáis del Dr. Herbie? Siempre respondía con contenido trivial que podía parecer que entendía lo que le decías, pero ahora este tipo de programas envían directamente los audios a una web que es la que procesa esa información y va adaptándose a los nuevos entornos. No creo que la muñeca tenga un procesador interno lo suficientemente avanzado como para reconocer la voz y ofrecer respuestas elocuentes. Si no lo hace Siri de Apple en un smartphone de 500 dólares, no creo que lo haga este juguete.

  3. El almacenamiento
    Por lo visto Mattel delega el almacenamiento de los audios a la empresa ToyTalk. En su Política de Privacidad que podéis leer en la web https://www.toytalk.com/legal/, se puede leer que para poder hacer uso de esta característica, habrá que crear una cuenta de "administrador" que harán los padres para los niños menores de 13 años. Y ¿que uso se le dará a estos audios?: lo saco de la propia web:

    ¿Qué controles tienen los padres sobre información de la cuenta y el contenido?
    Los niños menores de 13 años no están autorizados a crear sus propias cuentas, sino que debe utilizar la cuenta de su padre. Por lo tanto, los padres tienen el control total de toda la información de la cuenta y el contenido para niños menores de 13. Los padres pueden revisar y borrar fotos o archivos de audio en su cuenta y también pueden eliminar definitivamente sus cuentas a través de la página de configuración en la página web de ToyTalk. Puede evitar las aplicaciones de tomar y almacenar fotos apagando "Permitir Fotos" a través de la página Configuración de la zona de control parental las aplicaciones.

    ¿Cómo son las grabaciones y fotografías compartidas con terceros?
    Compartimos grabaciones de audio con los proveedores de terceros que nos ayudan con el reconocimiento de voz. Estos vendedores no tienen acceso a su información de cuenta y han acordado no conservar ninguna copia de estos archivos de audio. Los vendedores podrán ser autorizados a utilizar los datos y transcripciones derivadas que no contienen archivos de audio o información personal para sus propios fines de investigación y desarrollo.

    Sólo los titulares de las cuentas pueden compartir grabaciones y fotos creadas a través de su cuenta a través de correo electrónico o en páginas de terceros como Facebook, YouTube y Twitter. Los niños menores de 13 años no están autorizados los titulares de cuentas y por lo tanto no se les permite compartir grabaciones o fotos con terceros, a menos que un padre les acciones en su nombre.

    ¿Cómo son las grabaciones y fotografías compartidas con terceros?
    Podemos usar, almacenar, procesar y transcribir las grabaciones con el fin de proporcionar y mantener el servicio, para realizar, prueba o mejorar la tecnología de reconocimiento de voz y algoritmos de inteligencia artificial, o para otros fines de análisis de datos de la investigación y el desarrollo y. En el caso de que los niños voluntariamente información personal adicional al interactuar con ToyTalk y dicha información es capturada en una grabación, cualquier información personal contenida en el mismo no se utiliza para ponerse en contacto con los niños o para cualquier otro propósito.

    (traducido del inglés con el traductor de Google)
  4. Datos almacenados dentro de la propia muñeca¿y si pierdes las muñeca? toda esa configuración inicial de la wifi, el usuario, los parámetros internos, etc. ¿están cifrados dentro de la memoria interna de la muñeca? no creo que ni el software interno ni el hardware lleguen a este nivel de privacidad.
Conclusión: así de primeras parece que la idea a modo de juguete tecnológico esta muy bien, un juguete al que le hablo y me contesta. Desde el punto de vista de la seguridad informática, tiene varios frentes abiertos:
  • cuando el padre no esté delante no se sabe que es lo que propio niño puede estar diciéndole al juguete
  • el propio juguete irá adaptándose a la conversación. ¿y si le da al juguete por hacer preguntas comprometidas tipo cual es tu teléfono, como te llamas, como se llama tu papá o mamá, ...?
  • ¿y estas respuestas?, aunque no se guarde información personal de los audios que los relacionen con la cuenta de "adulto" desde la que se enviaron, lo niños pueden dar su nombre, dirección, teléfono, etc. y eso no quedaría vinculado al audio, si no que quedará DENTRO DEL PROPIO AUDIO.
  • y respecto al malware, ¿este tipo de juguete tendrá algún software antimalware, firewall, políticas de usuario, ...?
Ya para terminar, os pongo unos enlaces a sitios con información relevante a este tema:

Figura 1: entrada del blog de Chema en la que habla de Siri
El capítulo 235 de los Simpson, es una crítica de hasta donde las empresas de juguetes llegan para estudiar los gustos y atracciones de los niños. Os pongo mas información de wikipedia:

Figura 2: entrada de Wikipedia con información sobre los estudios de mercado
en un capítulo de los Simpson (capítulo 235, emitido en la temporada 11)
Saludos!

No hay comentarios:

Publicar un comentario

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.