Los juguetes sexuales de ahora disponen de una gran variedad de funciones: conexión a Internet, control remoto, bluetooth, video y mensajería. Sin embargo, existe la preocupación de que en busca de ofrecer cada vez más capacidades, sus fabricantes pueden dejar a los usuarios expuestos a violaciones de su privacidad y ataques cibernéticos.
Los investigadores de la empresa ESET decidieron explorar la seguridad de dos populares juguetes sexuales producidos por el fabricante alemán WOW Tech Group (We-Vibe Jive) y el singapurense Lovense (Lovense Max).
We-Vibe Jive es un vibrador femenino con bluetooth que puede conectarse a la aplicación móvil We-Connect para controlar los movimientos o ceder su regulación a otra persona.
Lovense Max es una funda de masturbación para hombres que también puede conectarse a una aplicación móvil. Este producto dispone de funciones como el control remoto local, a larga distancia y vibraciones basadas en la música. Además, permite crear y compartir patrones de movimientos para sincronizar dos juguetes.
Ambos dispositivos utilizan la tecnología de red de área personal Bluetooth Low Energy (BLE), que si bien es útil para mantener un bajo consumo de energía, no es lo suficientemente segura.
We-Vibe Jive limita al mínimo la recopilación de datos del usuario, pero utiliza la opción menos segura de emparejamiento BLE. Como resultado, el vibrador se vio sujeto a ataques de intermediario en los que cualquier smartphone u ordenador portátil no autentificado podía conectarse a uno de los aparatos.
"Cualquiera persona puede utilizar un simple escáner de bluetooth para encontrar cualquier dispositivo de este tipo en sus proximidades. [Jive] está diseñado para que el usuario pueda llevarlo mientras hace su vida, en restaurantes, fiestas, hoteles o en cualquier otro lugar público. En estas situaciones, un atacante podría identificar el dispositivo y utilizar la intensidad de la señal del mismo como brújula para guiarse y acercarse poco a poco hasta dar con la persona que lo lleva", señalan.
De hecho, este caso descrito por los investigadores de ESET apareció una vez en la comedia The Ugly Truth (La cruda realidad) que protagonizó la actriz Katherine Heigl. En esa película el personaje de Heigl se puso unas bragas vibrantes y se fue a una cita de trabajo muy importante celebrada en un restaurante. Allí perdió el mando de control sobre el dispositivo que fue hallado, activado y manipulado por un niño. Fue entonces cuando las cosas se complicaron para ella.
Los usuarios de la aplicación We-Connect pueden compartir archivos multimedia durante las sesiones de chat y, aunque estos se eliminan en cuanto termina su conversación para proteger la privacidad, los metadatos permanecen. Otro problema a destacar fue la ausencia de protección contra los ataques de 'fuerza bruta' que podrían buscar acceder al código PIN de la aplicación.
A su vez, la funda Lovense Max contiene una serie de opciones de diseño "controvertidas", que pueden comprometer la "confidencialidad de las imágenes íntimas que un usuario comparte con otro", según los expertos de ESET. En particular, las terceras personas eran capaces de acceder a estas fotos sin el consentimiento del propietario.
Otro bug era que para transferir las imágenes el dispositivo utilizaba el protocolo seguro de transferencia de hipertexto (HTTPS) y no el sistema de comunicación cifrado de extremo a extremo. En el segundo solo los usuarios que participan en la conversación pueden leer los mensajes.
Además, el juguete empleaba los correos electrónicos de sus usuarios que se almacenaban en un archivo de texto para facilitar la mensajería. Los tokens, que se compartían públicamente, también se generaban utilizando pocos números y estaban activos más tiempo de lo normal. Por tanto, podrían ser susceptibles a ataques de 'fuerza bruta' que llevasen a la divulgación de información.
ESET reveló las vulnerabilidades a WOW Tech Group y Lovense en junio de 2020 y los problemas de seguridad fueron reconocidos en varias semanas. El fabricante singapurense reparó todos los bugs notificados el 27 de julio, mientras que la versión 4.4.1 de We-Connect, publicada en agosto, ha resuelto los problemas del PIN y los metadatos.
"Las consecuencias de las violaciones de datos en este ámbito pueden ser especialmente desastrosas cuando la información filtrada se refiere a la orientación sexual, los comportamientos y las fotos íntimas. A medida que crece el mercado de los juguetes sexuales, los fabricantes deben tener en cuenta la ciberseguridad, ya que todo el mundo tiene derecho a utilizar una tecnología segura", concluyen los investigadores de ESET.