El caso de los peluches inteligentes Bondu, equipados con un chatbot integrado, se ha convertido en un ejemplo ilustrativo de los riesgos de privacidad infantil asociados a los juguetes con inteligencia artificial. Un fallo de configuración en el portal web de la marca permitió que cualquier usuario con una cuenta de Gmail pudiera acceder a conversaciones de menores con la muñeca, así como a datos personales sobre los niños y sus familias.
Cómo un error de control de acceso en Bondu expuso datos de miles de niños
La incidencia fue identificada por los especialistas en seguridad de la información Joseph Thacker y Joel Margolis, tras la petición de una vecina que les pidió revisar la seguridad de la juguete Bondu que había comprado para sus hijos. En pocos minutos de análisis detectaron un portal web administrativo de Bondu accesible públicamente.
El problema radicaba en que bastaba autenticarse con una cuenta de Google para acceder a la consola. No existía una verificación adecuada de permisos ni un aislamiento de datos entre usuarios. Como resultado, cualquier persona autenticada podía visualizar no solo la información asociada a su propio perfil, sino el listado completo de conversaciones de todos los propietarios de la juguete.
Qué información personal de los menores quedó expuesta
A través de este portal vulnerable era posible consultar tanto los chats como información sensible sobre los niños y su entorno familiar. Entre los datos accesibles se encontraban:
• Nombres y fechas de nacimiento de los menores.
• Nombres de familiares registrados.
• «Objetivos de desarrollo» configurados por los padres en la aplicación.
• Transcripciones completas de todas las conversaciones con la juguete IA Bondu.
Según la propia compañía, la brecha afectó a más de 50.000 chats, es decir, prácticamente todo el historial de interacción de los niños con el dispositivo, salvo las conversaciones eliminadas manualmente. Este volumen de datos permite reconstruir detalles muy íntimos: apodos, juegos favoritos, comida preferida, rutinas familiares o eventos recientes en el hogar.
Respuesta de la empresa y alcance potencial de la brecha
Tras recibir la notificación, Bondu cerró rápidamente el acceso a la consola y, al día siguiente, relanzó el portal con mecanismos de autenticación y autorización corregidos. La dirección de la empresa afirmó que la solución técnica se implementó en pocas horas y que posteriormente se realizó una auditoría de seguridad adicional.
La compañía sostiene que no existen evidencias de explotación maliciosa de la vulnerabilidad. Sin embargo, en ciberseguridad es frecuente que los registros de actividad sean incompletos o se conserven durante periodos limitados, por lo que la ausencia de rastros forenses no implica necesariamente que terceros no hayan accedido a la información.
Riesgos de ciberseguridad y privacidad para niños y familias
Los chats de menores con juguetes inteligentes contienen mucho más que respuestas aparentemente inocuas. A partir de estas transcripciones es posible perfilar con precisión a un niño y su familia: horarios habituales, lugares que frecuenta, aficiones, dinámicas familiares e incluso referencias indirectas a direcciones o ubicaciones cercanas a casa o al colegio.
Desde una perspectiva de ciberseguridad, este tipo de información es especialmente valiosa para campañas de ingeniería social y ataques dirigidos a menores. Un atacante que conozca aficiones, miedos o rutinas de un niño puede establecer una comunicación aparentemente confiable, o incluso utilizar los datos para manipulación emocional o chantaje. Casos anteriores, como las filtraciones de datos de juguetes conectados CloudPets o la muñeca Cayla, muestran que estos riesgos no son teóricos.
Un problema estructural en los juguetes inteligentes con IA
El incidente de Bondu no es aislado, sino un reflejo de un problema sistémico: la mayoría de juguetes inteligentes y dispositivos conectados para niños almacenan historiales completos de interacción. Estos registros se emplean para mejorar los modelos de diálogo y personalizar respuestas, pero al mismo tiempo incrementan de manera significativa la superficie de exposición de datos sensibles.
Uso de proveedores externos de IA y cadenas de tratamiento de datos
Para generar respuestas, Bondu recurre a plataformas de IA externas como Google Gemini y, según declaraciones de la empresa, incluso GPT‑5 de OpenAI. Esto implica que parte de la información de los diálogos infantiles se transmite a terceros proveedores de modelos de IA, aunque se afirme que se hace de forma «minimizada» y en entornos corporativos donde los datos no se usan para entrenar modelos.
Cada integración adicional introduce un nuevo eslabón en la cadena de tratamiento de datos. En regiones con marcos regulatorios estrictos como el RGPD en la Unión Europea o la COPPA en Estados Unidos, este tipo de tratamiento de datos de menores está sometido a requisitos reforzados de consentimiento, minimización, seguridad y supervisión por parte de autoridades.
Desarrollo acelerado con IA y fallos en la seguridad por diseño
Los investigadores apuntan a que el portal de Bondu probablemente se desarrolló con un uso intensivo de herramientas de codificación asistida por IA y prácticas informales como el llamado «vibe coding»: confiar en fragmentos de código generados automáticamente sin aplicar metodologías rigurosas de secure coding y pruebas de seguridad.
Con la expansión del uso de IA generativa en el desarrollo de software, es previsible que se multipliquen los errores en controles de autenticación, autorización y gestión de sesiones en productos de consumo, incluidos los dirigidos específicamente a menores.
El caso Bondu demuestra que cualquier juguete inteligente debe considerarse un posible vector de fuga de datos. Antes de comprar estos dispositivos, conviene que madres, padres y tutores revisen qué información recoge el producto, durante cuánto tiempo se almacenan los chats, si se emplea cifrado de extremo a extremo y si la empresa publica una política de privacidad clara y específica para menores. Siempre que sea posible, es recomendable limitar los datos compartidos, revisar periódicamente la configuración de la cuenta y borrar historiales antiguos si la plataforma lo permite.
