Un juguete para niños impulsado por inteligencia artificial, llamado Bondu, dejó más de 50.000 registros de chat privados accesibles para cualquier persona con una cuenta de Gmail. Los investigadores de seguridad Joseph Thacker y Joel Margolis descubrieron la vulnerabilidad a principios de febrero y descubrieron que el portal web de la empresa para monitorear conversaciones no era completamente seguro.
Datos desprotegidos
Los datos expuestos incluían nombres de niños, fechas de nacimiento, detalles familiares y transcripciones detalladas de cada conversación que tuvieron con el juguete. Este nivel de acceso se produjo sin ningún tipo de piratería; simplemente iniciar sesión con una cuenta estándar de Google otorga acceso completo a información confidencial.
Los investigadores pudieron ver detalles íntimos como los nombres de los niños para el juguete, sus bocadillos favoritos y sus preferencias personales. Los datos se almacenaron a plena vista, lo que representa una grave violación de la privacidad.
Respuesta rápida, preocupaciones persistentes
Bondu abordó el problema pocas horas después de ser alertado, cerró el portal y lo volvió a abrir con medidas de seguridad. El director ejecutivo, Fateen Anam Rafid, afirmó que no se produjo ningún acceso no autorizado más allá del descubrimiento de los investigadores. Sin embargo, el incidente plantea interrogantes más amplios sobre la seguridad de los datos dentro de los productos infantiles basados en IA.
Implicaciones más amplias
La vulnerabilidad resalta los riesgos de los juguetes de IA que recopilan datos detallados del usuario. La consola Bondu expuesta utilizó servicios de inteligencia artificial de terceros como Gemini de Google y GPT-5 de OpenAI, potencialmente compartiendo conversaciones de niños con estas empresas.
Los investigadores también sospechan que la consola puede haber sido “codificada por vibración”, creada utilizando herramientas de inteligencia artificial generativa que se sabe que introducen fallas de seguridad. El incidente subraya el potencial de uso indebido de datos confidenciales de niños, incluidos riesgos de manipulación, captación o incluso secuestro.
La ilusión de la seguridad
Bondu se promociona como un compañero seguro de IA para niños e incluso ofrece una recompensa de 500 dólares por respuestas inapropiadas. Sin embargo, la empresa simultáneamente dejó todos los datos de los usuarios completamente inseguros, lo que pone de relieve una peligrosa desconexión entre las afirmaciones de seguridad y las prácticas de seguridad reales.
El caso sirve como una cruda advertencia: las medidas de seguridad de la IA no tienen sentido cuando la protección de datos subyacente es inexistente. El incidente ha llevado a los investigadores a reconsiderar la viabilidad de los juguetes de IA en los hogares, dados los riesgos inherentes a la privacidad.
