Preguntas y respuestas sobre el ataque de piratería informática a

Preguntas y respuestas sobre el ataque de piratería
informática a «Explor@ Park» - de VTech
– Actualizado el 4 de febrero de 2016
Sobre la reapertura de Explor@ Park
1. ¿Cuándo se ha reabierto la plataforma Explor@ Park?
Las principales funciones de Explor@ Park y del centro de descargas para
determinados productos están online de nuevo desde el sábado 23 de enero de
2016.
2. ¿Qué servicios están online de nuevo?
Los clientes con productos compatibles con Explor@ Park, salvo algunos
productos, pueden registrar cuentas para sus nuevos productos, usar las
cuentas ya existentes y cambiar las contraseñas. También se ha reabierto
la tienda de descargas de Explor@ Park. Puede hacer clic aquí para ver la
lista con la relación de funciones y productos actualizados en Explor@ Park.
3. ¿Qué sucederá cuando me conecte de nuevo a Explor@ Park?
Para los usuarios con una cuenta previa y con Explor@ Park instalado en su
ordenador PC o Mac:
 Su programa Explor@ Park se actualizará automáticamente y se
reinstalará en su ordenador
 Deberá cambiar después su contraseña
 Debe también dar su consentimiento para recopilar datos de sus hijos
4. ¿Puedo eliminar mi cuenta de Explor@ Park?
Sí. Puede usar para ello el programa Explor@ Park o un navegador web. Por
favor, visite la página de descarga de su producto para más información. No
obstante, VTech necesitará conservar temporalmente una copia de los datos
de su cuenta con el fin de poder dar respuesta a potenciales requerimientos
legales en relación al ataque de piratería informática del que hemos sido
víctimas. En cualquier caso, VTech no usará esos datos salvo para estos
requerimientos legales.
5. ¿Puedo registrar un nuevo producto en mi cuenta de Explor@
Park?
Salvo para algunos productos, los usuarios de Explor@ Park pueden registrar
ya sus nuevos productos con seguridad. Puede hacer clic aquí para ver la lista
con la relación de funciones y productos actualizados en Explor@ Park.
6. ¿Puedo usar la tienda de descargas para mi producto?
Por favor, haga clic aquí para comprobar si la versión de Explor@ Park para
su producto está disponible actualmente.
7. ¿Cuándo estará online la tienda de descargas para el resto de los
productos?
La reapertura de la tienda de descargas del resto de productos está prevista
para finales de febrero. Les rogamos acepten nuestras disculpas de nuevo por
las molestias causadas.
8. ¿Y Kid Connect?
El servicio de Kid Connect se mantiene suspendido aún. Les rogamos acepten
nuestras disculpas de nuevo por las molestias causadas. Estamos trabajando
intensamente para reanudar la aplicación Kid Connect.
9. ¿Qué va a suceder con Planet VTech y con otras páginas web
suspendidas?
Planet VTech no se reabrirá de nuevo. En estos momentos, no tenemos
previsto reactivar las otras páginas y servicios.
Sobre el incidente
10. ¿Es cierto que ha tenido lugar un ataque de piratería
informática en una página web de VTech?
En efecto, podemos confirmar que el 14 de noviembre de 2015 (hora de Hong
Kong) una persona no autorizada accedió a la base de datos de clientes de
nuestra tienda de aplicaciones "Learning Lodge" (Explor@ Park en español) y
servidores de Kid Connect.
Explor@ Park permite a nuestros clientes descargar contenidos (aplicaciones,
juegos, historias…) a ciertos productos de VTech.
Kid Connect permite a los padres que utilicen la aplicación en sus
smartphones chatear con sus hijos a través de una tablet VTech.
El sitio Planet VTech es una página ya deshabilitada (abierta en 2008) para
ciertos juguetes con conexión a Internet.
11. ¿Qué páginas web han sufrido el ataque?
La base de datos de clientes de nuestra tienda de aplicaciones Learning
Lodge/Explor@ Park, Planet VTech y Kid Connect.
Como medida de precaución, el 29 de noviembre de 2015 suspendimos
temporalmente la plataforma Learning Lodge/Explor@ Park, la red Kid
Connect y las siguientes páginas web para su correcta evaluación y refuerzo
de seguridad:




www.planetvtech.com
www.lumibeauxreves.com
www.planetvtech.fr
www.vsmilelink.com
www.planetvtech.de
www.planetvtech.co.uk
www.planetvtech.es
www.proyectorvtech.es
www.sleepybearlullabytime.com
de.vsmilelink.com
fr.vsmilelink.com
uk.vsmilelink.com
es.vsmilelink.com









12. ¿Cuándo descubrieron esta intrusión?
Recibimos un correo electrónico de un periodista canadiense el 23 de
noviembre (hora del este de Norteamérica) solicitando información sobre
el incidente. A raíz de este email, llevamos a cabo una investigación
interna y detectamos actividad irregular en nuestra página web Learning
Lodge/Explor@ Park el 14 de noviembre (hora de Hong Kong).
Realizamos una comprobación exhaustiva de los sitios web afectados de
inmediato y tomamos medidas rigurosas contra futuros ataques.


13. ¿Cuándo informaron a sus consumidores sobre el incidente?




Tras confirmar los hechos en torno al suceso, informamos a
nuestros clientes en un comunicado en nuestra página global tan
rápido como nos fue posible el 27 de noviembre (hora de Hong
Kong). El mismo día enviamos una notificación por correo a todos
los usuarios de Explor@ Park y de Kid Connect afectados.
Publicamos un segundo comunicado el lunes 30 de noviembre.
Publicamos un tercer comunicado el día 3 de diciembre (4 de
diciembre en la web española).
El 25 de enero publicamos en nuestra página global un cuarto
comunicado, anunciando la reapertura de Explor@ Park.
14. ¿Cuántos clientes se han visto afectados?
Se han visto afectados los usuarios de Learning Lodge/Explor@ Park. Puede
consultar los detalles a continuación:
a. Learning Lodge/ Explor@ Park
En total, 4.854.209 cuentas de clientes (padres) y 6.368.509 perfiles asociados
de niños en todo el mundo, cifra que incluye 1,2 millones aproximados de
cuentas de padres de Kid Connect. Los perfiles infantiles, a diferencia de los
parentales, solo incluyen el nombre, el sexo y la fecha de nacimiento del
menor.
b. PlanetVTech
Se han visto afectadas 235.708 cuentas de padres y 227.705 cuentas infantiles
de PlanetVTech.
15. ¿Cuál es el desglose de personas afectadas por país?
Tras una investigación exhaustiva, el desglose de clientes de Learning
Lodge/Explor@ Park afectados por país sería el siguiente:
País
Cuentas (padres)
Perfiles (niños)
Estados Unidos
2.212.863
2.894.091
Francia
868.650
1.173.497
Reino Unido
560.487
727.155
Alemania
390.985
508.806
Canadá
237.949
316.482
Otros
168.394
223.943
España
115.155
138.847
Bélgica
102.119
133.179
Países Bajos
100.828
124.730
Irlanda
40.244
55.102
América Latina
28.105
36.716
Australia
18.151
23.096
Dinamarca
4.504
5.547
Luxemburgo
4.190
5.014
Nueva Zelanda
1.585
2.304
16.C¿Cómo pudo el hacker tener acceso a los datos?
Estamos investigando cómo ha podido acceder el hacker a nuestra base de
datos. Sí podemos indicar que ha sido un claro ataque de naturaleza criminal
muy bien planificado. Nuestras bases de datos de Learning Lodge/Explor@
Park, Kid Connect y Planet VTech fueron atacadas por un hacker experto.
Tan pronto como tuvimos conocimiento del ataque, llevamos a cabo una
exhaustiva auditoría para adoptar medidas urgentes de cara a evitar problemas
futuros. Según nuestras últimas investigaciones, ningún otro sitio web de
VTech se ha visto afectado.
17. Hay informaciones periodísticas sobre la detección de un hombre de
21 años por la policía británica en relación con el ataque de piratería
informático. ¿Tiene VTech algún comentario al respecto?
Dado que las investigaciones aún no han terminado, no hay ninguna
información adicional a la proporcionada por las autoridades policiales de
Inglaterra (SEROCU, South East Regional Organised Crime Unit).
18. ¿Qué tipo de información contienen sus bases de datos?

Nuestras bases de datos contienen datos de Explor@ Park y Kid
Connect con la información siguiente:
a. Explor@ Park
- Información de su cuenta parental incluyendo: nombre, dirección de
correo electrónico, contraseña, pregunta y respuesta secreta para la
recuperación de la contraseña, dirección IP, dirección de correo ordinario e
historial de descargas.
- Los perfiles infantiles incluyen el nombre, el sexo y la fecha de
nacimiento del menor.
b. Kid Connect
- Información de su cuenta parental incluyendo: dirección de correo
electrónico y contraseña, y las fotos de perfil y nombre de usuarios de
padres e hijos.
- Mensajes de voz y chat de Kid Connect y fotos (enviadas por los niños o
los padres)
- Información añadida por padres o adultos en la función de boletín (no
disponible en España)
c. Planet VTech
- Información de cuenta parental incluyendo: nombre, dirección de correo
electrónico, contraseña, pregunta y respuesta secreta para la recuperación
de la contraseña, dirección IP e historial de descargas.
- Perfiles de niño creados por los padres, incluyendo el nombre del niño, el
nombre de su avatar, contraseña, género y día de nacimiento.
- Puntuaciones de juego

Nuestras bases de datos no contienen información sobre tarjetas de
crédito ni información de tipo bancario. VTech no procesa ni almacena
este tipo de información en la página web de Learning Lodge/Explor@
Park. Para completar el pago o transacción de descargas desde dicha
plataforma, nuestros clientes son redirigidos a un portal de pago seguro.

Nuestras bases de datos no contienen información como el número de
su documento nacional de identidad, seguridad social, carné de
conducir o datos similares.
19. ¿Se ha robado información sobre tarjetas de crédito?
Nuestra base de datos de clientes de Learning Lodge/Explor@ Park no
contiene información sobre tarjetas de crédito y VTech no procesa ni
almacena este tipo de información en dicha página. Para completar el pago o
transacción de descargas desde la plataforma, nuestros clientes son redirigidos
a un portal de pago seguro.
20. ¿Por qué se necesita información personal del usuario?
Learning Lodge/Explor@ Park permite a nuestros clientes adquirir y
descargar aplicaciones, juegos de aprendizaje, historias y otros contenidos
educativos a sus productos de VTech. Para ello, deben crear una cuenta. La
información se utiliza para identificar al cliente y registrar sus descargas.
21. ¿Hay algo que pueda hacer para protegerme?
Le recomendamos que cambie inmediatamente sus contraseñas para otras
páginas web en las que utilice la misma dirección de correo electrónico,
pregunta y respuesta secreta y combinación de contraseña. Cuando acceda a
Explor@ Park, el programa le pedirá que cambie la contraseña para poder
seguir usando la aplicación.
22. ¿Cómo protege VTech los datos almacenados en Kid Connect?
El servicio de Kid Connect ha sido suspendido temporalmente. Estamos
revisando nuestros protocolos de seguridad y eliminaremos todos los
mensajes no enviados antes de reiniciar el servicio.
23. ¿Ha informado VTech a sus clientes?
Efectivamente, hemos comunicado el ataque de piratería informático a
nuestros clientes y público general mediante comunicados, notas de prensa y
preguntas frecuentes en nuestras páginas web:
Añadiremos avisos adicionales cuando sea conveniente.
Asimismo, hemos establecido las siguientes direcciones de correo electrónico
en caso de dudas y preguntas:










EE. UU.: vtechkids@vtechkids.com
Canadá: toys@vtechcanada.com
Francia: explora_park@vtech.com
Alemania: downloadmanager@vtech.de
Países Bajos: exp@vtech.com
España: informacion@vtech.com
Reino Unido: consumer_services@vtech.com
Australia y Nueva Zelanda: enquiriestoys_aunz@vtech.com
Hong Kong: corporate_mail@vtech.com
Otros países y regiones: corporate_mail@vtech.com
24. ¿Se ha informado a las autoridades pertinentes? ¿VTech está siendo
investigada?
Hemos designado a un equipo de especialistas legales en seguridad de datos
que colabora con las autoridades locales. Estamos decididos a aprender de
este incidente y dispuestos a realizar las mejoras necesarias en nuestra red de
seguridad para que nuestros clientes sigan disfrutando de los productos de una
manera segura y con el convencimiento de que sus datos son seguros.