Em apenas alguns cliques, um rapaz de 11 anos do Texas, EUA, conseguiu aceder aos dispositivos móveis de uma plateia de especialistas de cibersegurança para “sequestrar” um ursinho de peluche. O objectivo: provar que o podia transformar num dispositivo de espionagem de casas alheias. À semelhança de outros brinquedos modernos (por vezes chamados “inteligentes”), o peluche incluía um dispositivo de bluetooth e microfone. Ou seja, podia ser utilizado para gravar mensagens de voz e monitorizar os locais. 

“De exterminadores robóticos a ursinhos de peluche, qualquer coisa, qualquer brinquedo pode tornar-se uma arma”, concluiu Reuben Paul, ao acabar a simulação do ciberataque perante profissionais estupefactos na One Conference 2017, uma conferência de cibersegurança na Haia, na Holanda.

O processo demorou minutos. Paul – conhecido por ser uma criança-prodígio em informática – subiu ao palco para falar sobre aparelhos ligados em rede, mas preferiu uma demonstração sobre os seus perigos.

Ligou o seu portátil ao minicomputador Raspberry Pi (um aparelho do tamanho de um cartão de crédito, cujo modelo mais caro custa cerca de 31 euros, e é também utilizado para ensinar informática a crianças) para procurar no auditório dispositivos com o bluetooth ligado e ter acesso a dezenas de números de telefone da assistência. Depois, utilizou a linguagem de programação Python para ter acesso ao urso de peluche através de um daqueles números e para gravar uma mensagem.

“A maioria dos objectos com ligação à Internet vem com uma funcionalidade de bluetooth. Apenas mostrei como é que nos podemos ligar e enviar comandos”, explicou Paul, mais tarde, em declarações à agência France Presse. Para Paul, qualquer objecto ligado à Internet representa um risco. Podem ser utlizados para roubar informação pessoal (como passwords e documentos importantes), para espiar pessoas e para descobrir onde é que alguém está através do sistema de GPS. Porém, para Paul, a grande preocupação é com os brinquedos modernos: “O brinquedo pode dizer [a uma criança]: ‘Vem ter comigo a este local e eu estarei lá para te ir buscar’”.

Já há casos reais do problema. Em Fevereiro, a Spiral Toys, uma empresa que comercializa peluches ligados à Internet, e que tem como funcionalidade a gravação de mensagens por parte das crianças e dos seus pais, revelou que foram divulgadas online mais de 800 mil credenciais de clientes e dois milhões de mensagens gravadas. O aviso chegou aos clientes dois meses depois de o problema ter sido detectado.

A missão de Paul tem sido alertar mais pessoas para estes problemas. Apesar da idade, já é o director executivo da CyberShaolin, uma empresa sem fins lucrativos que os pais o ajudaram a fundar, com o objectivo de “informar crianças e adultos sobre os perigos da ciberinsegurança”. A mensagem destina-se também aos próprios fabricantes. Afinal, o mercado global dos chamados "brinquedos inteligentes" deve ultrapassar os dez mil milhões de euros até 2020, segundo previsões da empresa de análise de mercado Juniper Research. 

Paul ambiciona formar-se em Cibersegurança no MIT ou CalTech, duas universidades de topo nos EUA.