Fallos de seguridad en juguetes sexuales: Ni de un vibrador te puedes fiar

Se puede hackear un m¨®vil, se puede hackear una tablet, un smartwatch, incluso un maldito electrodom¨¦stico o una bombilla. Solo hace falta que cumplan el requisito de ser ¡®smarts¡¯, de tener conectividad. Si se conecta a Internet, si forma parte del IoT o Internet de las Cosas -el ecosistema de productos inteligentes conectados entre s¨ª en un hogar, oficina, etc- es un candidato v¨¢lido para ser pirateado.

Incluso algo tan privado como un vibrador puede ser hackeado.

Los datos sobre comportamiento sexual, la nueva frontera

En Internet no hay nada que tenga m¨¢s valor que los datos. Ni el dinero, ni las joyas ni el arte. Los datos son la moneda m¨¢s valiosa con la que comerciar -la cantidad de ciberataques, malwares y t¨¦cnicas dise?adas s¨®lo para robar datos de usuarios ya da una pista. La edad, los gustos, las tiendas que visita una persona, sus datos bancarios, lo que come, lo que compra¡­ Pero hay un sector ¡®virgen¡¯ o poco explorado por as¨ª decirlo: los datos sexuales.

Las preferencias que alguien tiene en su vida privada, lo que le gusta, la forma en que lo hace, c¨®mo lo hace, con qui¨¦n o con qu¨¦¡­ Seg¨²n la compa?¨ªa experta en ciberseguridad y antivirus ESET, ¡°hay pocos tipos de datos con m¨¢s potencial de da?ar a los usuarios que los relacionados con sus preferencias y comportamiento sexual¡±. Sobre todo porque sigue teniendo ese velo de tema tab¨² a d¨ªa de hoy, por muy moderno que se suponga sea el mundo.

Ampliar

Dada la situaci¨®n que vivimos, el confinamiento y otras medidas derivadas de la pandemia actual no s¨®lo han aumentado el consumo de contenidos online, sino un incremento en las ventas de juguetes sexuales. Y para ver su nivel de seguridad, dado que muchos presentan elementos IoT para conectarse a distancia, videochats, servicios de mensajer¨ªa, etc, ESET ha llevado a cabo una investigaci¨®n que ha revelado ¡°fallos de seguridad derivadas tanto de la implementaci¨®n de las aplicaciones que controlan los dispositivos como del dise?o de los mismos¡±.

La exposici¨®n

Como ocurre con cualquier otro dispositivo de la IoT, existen ciertas amenazas a la privacidad cuando se utilizan juguetes para adultos con capacidad para conectarse a Internet. Las vulnerabilidades podr¨ªan permitir a los atacantes ejecutar c¨®digo malicioso en el dispositivo, o bloquearlo evitando que el usuario env¨ªe cualquier comando al juguete. De hecho, ya hemos visto escenarios de casos reales que involucran ataques similares.

Por ejemplo, y aunque suene un punto ¡®bizarre¡¯,el descubrimiento de un ransomware que bloquea cinturones de castidad vulnerables mientras los dispositivos est¨¢n en uso y exige a las v¨ªctimas que paguen un rescate para desbloquear el equipo y liberarse -por ejemplo unas v¨ªctimas que tuvieron que pagar 678 d¨®lares en criptodivisas para ello, o el tipo se quedaba con el cintur¨®n puesto.

Fallos de seguridad en los juguetes para adultos

Los juguetes sexuales inteligentes actuales vienen con muchas funciones, como:

Algunos modelos pueden sincronizarse para replicar sus movimientos y otros son wearables. En t¨¦rminos de arquitectura, ¡°la mayor¨ªa de estos dispositivos se pueden controlar a trav¨¦s de Bluetooth Low Energy (BLE) desde una aplicaci¨®n instalada en un smartphone¡±. La aplicaci¨®n es responsable de configurar las opciones en el dispositivo y controlar el proceso de autenticaci¨®n del usuario.

Para hacerlo, se conecta a un servidor en la nube que almacena la informaci¨®n de la cuenta de la persona. En algunos casos, este servicio en la nube tambi¨¦n act¨²a como intermediario entre parejas que utilizan funciones como chat, videoconferencia y transferencia de archivos, o incluso ceden el control remoto de sus dispositivos a un tercero.

Seg¨²n ESET, esta arquitectura presenta "varios puntos d¨¦biles que podr¨ªan usarse para comprometer la seguridad de los datos que se procesan: Interceptar la comunicaci¨®n local entre la aplicaci¨®n de control y el dispositivo, entre la aplicaci¨®n y la nube, entre el tel¨¦fono remoto y la nube, o directamente atacando al servicio basado en la nube.

"A pesar de que ya han sido sometidos al escrutinio de muchos investigadores de seguridad, nuestra investigaci¨®n demostr¨® que estos dispositivos siguen presentando fallas de seguridad que amenazan a la seguridad de los datos almacenados, as¨ª como a la privacidad e incluso la seguridad del usuario¡±.

Provocar da?os f¨ªsicos a distancia

Por descontado dada su naturaleza, la sensibilidad de la informaci¨®n procesada por los juguetes para adultos¡°es extremadamente cr¨ªtica¡±:

Adem¨¢s de las preocupaciones relacionadas a la privacidad como usar ese material robado para la ¡®sextorsi¨®n¡¯, los juguetes sexuales inteligentes tampoco est¨¢n exentos a la posibilidad de ser comprometidos por un atacante.

Como hemos visto con el cintur¨®n de castidad que mencionamos antes, un atacante podr¨ªa tomar el control del juguete y llevar adelante ataques de DoS (denegaci¨®n de servicio) que bloqueen el env¨ªo de cualquier comando, o que un dispositivo sea convertido en un instrumento capaz de realizar acciones maliciosas y propagar malware o, incluso, que sea deliberadamente modificado para causar da?os f¨ªsicos al usuario; por ejemplo, recalent¨¢ndose y explotando.

En el estudio, ESET da ejemplos analizando dos juguetes de marcas dedicadas a este sector, y termina pregunt¨¢ndose y lanzando la cuesti¨®n de las consecuencias:

?Cu¨¢les son las consecuencias de que alguien pueda, sin consentimiento, tomar control de un dispositivo sexual mientras est¨¢ siendo utilizado para enviarle ¨®rdenes diferentes?

?La legislaci¨®n vigente contempla la posibilidad de penar este comportamiento?

?Podr¨ªamos describir esto como un acto de abuso sexual?