La misma clave para todas las unidades: Investigadores de seguridad han hackeado los smartwatches Xplora

Xplora está considerada líder del mercado de smartwatches para niños. La empresa noruega anuncia agresivamente los más altos estándares de seguridad y transparencia. En Noruega, casi uno de cada cinco niños de entre 4 y 10 años lleva un dispositivo de este tipo. Sin embargo, la realidad tras la fachada de marketing parece bastante sombría, como demuestran las investigaciones de https://media.ccc.de/v/39c3-watch-your-kids-inside-a-children-s-smartwatch#t=302 de la universidad alemana TU Darmstadt.

Un estudiante de máster se estrella contra el líder del mercado

Como parte de su tesis de máster, Malte Vu ha examinado un reloj Xplora actual bajo la supervisión de Nils Rollshausen. El tiempo necesario para la primera brecha fue sorprendentemente bajo. En pocos días, consiguieron activar el modo de desarrollador protegido por PIN del reloj y extraer el software. Malte Vu descifró manualmente el código PIN necesario en apenas unas horas.

El análisis posterior reveló un fallo de seguridad fundamental, ya que los investigadores encontraron una clave criptográfica general que es idéntica en todos los dispositivos del mismo tipo.

Acceso masivo a través del IMEI

Esta clave universal permite un acceso profundo a los datos. Los atacantes sólo necesitan el número IMEI del reloj en cuestión, que es un número de identificación de 15 dígitos. Los 8 primeros dígitos son idénticos para todas las unidades de un modelo concreto, a los que siguen un número de serie de 6 dígitos y un único número de control al final.

En su presentación en el 39C3, Rollshausen ha ilustrado lo sencillo que podría ser un escaneado automatizado de toda la gama IMEI de un fabricante. En teoría, un programa de este tipo podría leer los datos de todo el inventario de relojes. Las consecuencias son enormes, ya que los extraños pueden leer chats privados, interceptar imágenes y notas de voz o incluso manipular la ubicación. Incluso es posible enviar mensajes falsos a la aplicación para padres en nombre del niño. Los canales de comunicación también estarían abiertos en ambas direcciones.

Reacciones vacilantes y actualizaciones sin mejoras

Aunque Xplora fue informada de estas vulnerabilidades ya en mayo de 2025, la adopción de las medidas adecuadas tardó mucho tiempo. Una primera actualización en agosto se limitó a aumentar la longitud del PIN a 6 dígitos y a limitar el número de intentos fallidos. Al parecer, el fabricante intentaba evitar que investigadores y piratas informáticos accedieran al modo de desarrollador.

El fallo de seguridad real, es decir, la clave universal, permaneció en su sitio. Como el fabricante dejó de responder a las consultas en octubre, los investigadores recurrieron a la Oficina Federal de Seguridad de la Información de Alemania.

Algo de esperanza para enero de 2026

Otra actualización a finales de octubre tampoco aportó ninguna solución, y bastaron pequeños cambios en el exploit para recuperar el acceso completo. Xplora ha anunciado ahora una actualización de seguridad completa para enero de 2026. Se recomienda encarecidamente instalar esta actualización inmediatamente después de su lanzamiento. Tras varias llamadas telefónicas con el fabricante a finales de diciembre de 2025, Rollshausen espera una solución adecuada.

Como experimento técnico, Rollshausen mostró además una solución alternativa. Instaló el mensajero seguro Signal directamente en el reloj. Esto ilustra el problema central, los padres actualmente tienen que decidir si confiar en la seguridad anunciada por el fabricante o elegir manualmente otro canal de comunicación protegido.