Fallos de seguridad en juguetes sexuales: Ni de un vibrador te puedes fiar

Se puede hackear un móvil, se puede hackear una tablet, un smartwatch, incluso un maldito electrodoméstico o una bombilla. Solo hace falta que cumplan el requisito de ser ‘smarts’, de tener conectividad. Si se conecta a Internet, si forma parte del IoT o Internet de las Cosas -el ecosistema de productos inteligentes conectados entre sí en un hogar, oficina, etc- es un candidato válido para ser pirateado.

Incluso algo tan privado como un vibrador puede ser hackeado.

Los datos sobre comportamiento sexual, la nueva frontera

En Internet no hay nada que tenga más valor que los datos. Ni el dinero, ni las joyas ni el arte. Los datos son la moneda más valiosa con la que comerciar -la cantidad de ciberataques, malwares y técnicas diseñadas sólo para robar datos de usuarios ya da una pista. La edad, los gustos, las tiendas que visita una persona, sus datos bancarios, lo que come, lo que compra… Pero hay un sector ‘virgen’ o poco explorado por así decirlo: los datos sexuales.

Las preferencias que alguien tiene en su vida privada, lo que le gusta, la forma en que lo hace, cómo lo hace, con quién o con qué… Según la compañía experta en ciberseguridad y antivirus ESET, “hay pocos tipos de datos con más potencial de dañar a los usuarios que los relacionados con sus preferencias y comportamiento sexual”. Sobre todo porque sigue teniendo ese velo de tema tabú a día de hoy, por muy moderno que se suponga sea el mundo.

Ampliar

Dada la situación que vivimos, el confinamiento y otras medidas derivadas de la pandemia actual no sólo han aumentado el consumo de contenidos online, sino un incremento en las ventas de juguetes sexuales. Y para ver su nivel de seguridad, dado que muchos presentan elementos IoT para conectarse a distancia, videochats, servicios de mensajería, etc, ESET ha llevado a cabo una investigación que ha revelado “fallos de seguridad derivadas tanto de la implementación de las aplicaciones que controlan los dispositivos como del diseño de los mismos”.

La exposición

Como ocurre con cualquier otro dispositivo de la IoT, existen ciertas amenazas a la privacidad cuando se utilizan juguetes para adultos con capacidad para conectarse a Internet. Las vulnerabilidades podrían permitir a los atacantes ejecutar código malicioso en el dispositivo, o bloquearlo evitando que el usuario envíe cualquier comando al juguete. De hecho, ya hemos visto escenarios de casos reales que involucran ataques similares.

Por ejemplo, y aunque suene un punto ‘bizarre’,el descubrimiento de un ransomware que bloquea cinturones de castidad vulnerables mientras los dispositivos están en uso y exige a las víctimas que paguen un rescate para desbloquear el equipo y liberarse -por ejemplo unas víctimas que tuvieron que pagar 678 dólares en criptodivisas para ello, o el tipo se quedaba con el cinturón puesto.

Fallos de seguridad en los juguetes para adultos

Los juguetes sexuales inteligentes actuales vienen con muchas funciones, como:

Algunos modelos pueden sincronizarse para replicar sus movimientos y otros son wearables. En términos de arquitectura, “la mayoría de estos dispositivos se pueden controlar a través de Bluetooth Low Energy (BLE) desde una aplicación instalada en un smartphone”. La aplicación es responsable de configurar las opciones en el dispositivo y controlar el proceso de autenticación del usuario.

Para hacerlo, se conecta a un servidor en la nube que almacena la información de la cuenta de la persona. En algunos casos, este servicio en la nube también actúa como intermediario entre parejas que utilizan funciones como chat, videoconferencia y transferencia de archivos, o incluso ceden el control remoto de sus dispositivos a un tercero.

Según ESET, esta arquitectura presenta "varios puntos débiles que podrían usarse para comprometer la seguridad de los datos que se procesan: Interceptar la comunicación local entre la aplicación de control y el dispositivo, entre la aplicación y la nube, entre el teléfono remoto y la nube, o directamente atacando al servicio basado en la nube.

"A pesar de que ya han sido sometidos al escrutinio de muchos investigadores de seguridad, nuestra investigación demostró que estos dispositivos siguen presentando fallas de seguridad que amenazan a la seguridad de los datos almacenados, así como a la privacidad e incluso la seguridad del usuario”.

Provocar daños físicos a distancia

Por descontado dada su naturaleza, la sensibilidad de la información procesada por los juguetes para adultos“es extremadamente crítica”:

Además de las preocupaciones relacionadas a la privacidad como usar ese material robado para la ‘sextorsión’, los juguetes sexuales inteligentes tampoco están exentos a la posibilidad de ser comprometidos por un atacante.

Como hemos visto con el cinturón de castidad que mencionamos antes, un atacante podría tomar el control del juguete y llevar adelante ataques de DoS (denegación de servicio) que bloqueen el envío de cualquier comando, o que un dispositivo sea convertido en un instrumento capaz de realizar acciones maliciosas y propagar malware o, incluso, que sea deliberadamente modificado para causar daños físicos al usuario; por ejemplo, recalentándose y explotando.

En el estudio, ESET da ejemplos analizando dos juguetes de marcas dedicadas a este sector, y termina preguntándose y lanzando la cuestión de las consecuencias:

¿Cuáles son las consecuencias de que alguien pueda, sin consentimiento, tomar control de un dispositivo sexual mientras está siendo utilizado para enviarle órdenes diferentes?

¿La legislación vigente contempla la posibilidad de penar este comportamiento?

¿Podríamos describir esto como un acto de abuso sexual?