La venta de juguetes eróticos se ha disparado debido al distanciamiento social impuesto por las autoridades desde la llegada de la COVID-19. Los fabricantes de este tipo de dispositivos conectados no suelen prestar especial atención a la protección frente a ciberataques y las vulnerabilidades pueden dejar en evidencia datos personales de los usuarios, que incluso podrían sufrir ataques físicos, según se desprende de un estudio llevado a cabo por ESET, la mayor empresa de ciberseguridad de la Unión Europea, en el que se exploran fallos típicos de los juguetes eróticos conectados después de haber analizado varios de ellos.
Cada vez más juguetes eróticos incorporan aplicaciones para el móvil, mensajería, videochat y conectividad, lo que los convierte en atractivos no solamente para aquellos usuarios que quieran disfrutar, sino también para los ciberdelincuentes, que han encontrado en ellas un nuevo vector de ataque.
Las consecuencias de una brecha en los datos en este ámbito pueden ser, lamentablemente, muy problemáticas para la víctima, ya que puede quedarse al descubierto su orientación sexual, sus comportamientos o incluso imágenes íntimas.
Investigadores de ESET han encontrado vulnerabilidades en las aplicaciones que controlan los juguetes eróticos analizados y que podrían facilitar la instalación de malware en el teléfono conectado, cambios en el firmware del juguete o incluso que se modifiquen las acciones del dispositivo, llegando a causar daños físicos en el usuario.
En el estudio llevado a cabo por ESET, se han analizado en profundidad dos juguetes conectados, We-Vibe ‘Jive’ y Lovense ‘Max’. Los investigadores de ESET se descargaron las aplicaciones disponibles en Google Play Store (We-Connect y Lovense Remote) para controlar los dispositivos y utilizaron un marco de análisis de vulnerabilidades, así como diferentes técnicas de análisis para identificar potenciales fallos.
- We-Vibe: We-Vibe Jive es un vibrador manos libres que se puede utilizar fuera del entorno doméstico. El dispositivo no deja de enviar señales para anunciar su presencia y facilitar así la conexión, con lo que cualquier dispositivo que lea señales Bluetooth puede descubrirlo si se encuentra cerca (a un máximo de unos ocho metros). Los atacantes podrían identificar el dispositivo y utilizar la señal para llegar hasta el usuario que lleva puesto el vibrador. Además, no se precisa de la aplicación oficial para poder controlar el dispositivo, ya que se podría manejar desde prácticamente la mayoría de los navegadores.
Jive utiliza el método de emparejamiento menos seguro y el código temporal utilizado para el emparejamiento es cero, por lo que cualquier dispositivo podría utilizar esa clave para conectarse con el vibrador. We-Vibe Jive es muy vulnerable ante ataques ‘man-in-the-middle’, ya que cualquier vibrador de este modelo que no esté emparejado con un móvil o PC puede conectarse automáticamente con el usuario que lo solicite sin necesidad de verificación o autenticación.
Los archivos multimedia compartidos por los usuarios durante las sesiones de chat se guardan en las carpetas privadas de la aplicación, pero los metadatos de estos archivos permanecen como ficheros compartidos, por lo que cada vez que un usuario envía una foto al teléfono, se está enviando información adicional sobre el dispositivo o la geolocalización exacta.
- Lovense Max: este masturbador masculino puede sincronizarse con un dispositivo remoto, lo que permitiría a un atacante tomar el control de ambos dispositivos comprometiendo tan solo uno de ellos. Sin embargo, los archivos multimedia no incluyen metadatos cuando se recibe información desde el dispositivo y la aplicación permite configurar una clave de cuatro dígitos, lo que dificulta la intención de los ciberdelincuentes.
Algunos elementos del diseño de la aplicación pueden suponer una amenaza para la privacidad del usuario, como por ejemplo la opción de reenviar imágenes a terceros sin conocimiento del propietario o que los usuarios que hayan sido borrados o eliminados puedan seguir teniendo acceso al historial del chat. Lovense Max no utiliza autenticación para conexiones BLE, así que se pueden utilizar ataques ‘man-in-the-middle’ para interceptar la conexión y enviar comandos de control a los motores del dispositivo. Además, la aplicación utiliza la dirección de correo electrónico en la ID del usuario, lo que puede suponer un problema para la privacidad, ya que se comparte la dirección con todos los teléfonos conectados al chat.
“Como con cualquier dispositivo conectado, es necesario tomar ciertas precauciones en el diseño para adoptar las medidas de ciberseguridad necesarias. A pesar de que la ciberseguridad no parece ser una prioridad para los fabricantes de juguetes para adultos por el momento, hay ciertas precauciones que pueden tomar los usuarios por su cuenta, como no usar los dispositivos en sitios públicos o en zonas en las que hay mucha gente de paso, como, por ejemplo, en hoteles”, advierten las investigadoras de ESET Denise Giusto y Cecilia Pastorino.
“Los usuarios deben asegurarse de que el juguete está conectado con sus aplicaciones móviles cuando lo utilicen, ya que es la mejor forma de evitar su detección por parte de posibles atacantes. El mercado de los juguetes sexuales está creciendo mucho y los fabricantes deberían tener la ciberseguridad en mente, ya que todo el mundo tiene derecho a disfrutar de la tecnología de forma segura”.
Estrella Digital