Se duplican las ventas de sex toys en cuarentena: ¿Qué tan seguros son?

No es ninguna novedad que los dispositivos de la Internet de las cosas (IoT) tienen vulnerabilidades. ESET, empresa líder en detección proactiva de amenazas ha analizado fallas graves encontradas en varias centrales y cámaras inteligentes. Lo mismo ocurre en los juguetes para adultos, se ha comprobado que presentan fallas y vulnerabilidades en la protección de datos, lo que hace más riesgoso y dañino para el usuario, si se publican o exponen datos relacionados con la conducta sexual y la intimidad.

Todos los meses ingresan al mercado nuevos modelos de juguetes inteligentes para adultos. Pero ¿los fabricantes están haciendo lo necesario para proteger los datos y la privacidad de las personas? Uno imaginaría que también se están ocupando de fortalecer los mecanismos para asegurar las buenas prácticas en el procesamiento de la información de los usuarios. No obstante, muchas investigaciones han demostrado que estamos muy lejos de poder utilizar juguetes sexuales inteligentes sin exponernos al riesgo de un ciberataque. Estos hallazgos son más relevantes que nunca, debido al rápido aumento en las ventas de juguetes sexuales por la pandemia y las medidas de distanciamiento social relacionadas con el COVID-19.

Cecilia Pastorino, Investigadora de seguridad de ESET Latinoamérica, comenta: “La era de los juguetes sexuales inteligentes apenas está comenzando, los últimos avances en la industria incluyen modelos con capacidades de realidad virtual (VR) y robots sexuales con tecnología de inteligencia artificial que cuentan con cámaras, micrófonos y capacidades de análisis de voz. Muchas de las fallas que tienen estos juguetes inteligentes son habituales en dispositivos IoT y lo que aumenta el riesgo es el tipo de información sensible que manejan estos dispositivos. Además, el hecho de que un atacante pueda tomar control, lo hace particularmente peligroso para la integridad física del usuario. Como se ha demostrado una y otra vez, el desarrollo seguro y la conciencia pública serán clave para garantizar la protección de los datos confidenciales.”

El lado excitante de IoT: Juguetes y seguridad en riesgo

Como es de imaginarse, la información procesada por los juguetes sexuales inteligentes es extremadamente confidencial: nombres, preferencias y orientaciones sexuales, lista de parejas sexuales, información sobre el uso del dispositivo, fotos y videos íntimos; toda esta información puede tener consecuencias desastrosas si cae en manos equivocadas. Si tenemos en cuenta el material íntimo accesible a través de las aplicaciones que controlan estos dispositivos, aparecen nuevas formas de sextorsión en el radar.

Por otro lado ¿Cuáles serían las consecuencias de que alguien tomara el control de un dispositivo sexual sin el consentimiento del usuario? ¿Se podría describir como un acto de agresión o abuso sexual? La noción del delito cibernético adquiere una apariencia diferente si la miramos desde la perspectiva de la invasión de la privacidad, el abuso del poder y la falta de consentimiento para un acto sexual.

En cuanto a su arquitectura, la mayoría de estos dispositivos se pueden controlar a través de Bluetooth Low Energy (BLE) desde una app instalada en un teléfono inteligente. De esta forma, los juguetes sexuales actúan como sensores, que solo recopilan datos y los envían a la app para su procesamiento. La app es la encargada de configurar cualquier opción en el dispositivo y controlar el proceso de autenticación del usuario. Para ello, se conecta a través de Wi-Fi a un servidor en la nube que almacena la información de la cuenta. En algunos casos, la aplicación también actúa como intermediaria entre varios usuarios que utilizan funciones de chat, videoconferencia y transferencia de archivos, o que desean ceder el control de su dispositivo a usuarios remotos compartiendo sus tokens.

El equipo de investigación de ESET Latinoamérica presentó en DEF CON IoT Village una nueva investigación sobre juguetes sexuales inteligentes no seguros. La investigación se basó en dos dispositivos: un dispositivo portátil llamado Jive, fabricado por We-Vibe, y el masturbador masculino Max de Lovense. Descubrimos que ambos dispositivos tenían vulnerabilidades en la implementación de las comunicaciones por BLE, permitiendo a un atacante interceptar los datos que se envían y controlar de manera remota los dispositivos a través de ataques MitM (Man-in-the-Middle) por BLE, lo que implica que cualquiera puede usar un simple escáner de Bluetooth para localizar y controlar los juguetes sexuales inteligentes que se encuentran cerca. Esta vulnerabilidad es muy común en los dispositivos IoT, dado que la mayoría de los modelos disponibles en el mercado no implementan el emparejamiento de forma segura, lo que permite que cualquiera pueda conectarse y controlarlos.

Otro tipo de engaño común en las apps de citas es la sextorsión, que suele comenzar como una relación normal entre dos personas que se empiezan a conocer hasta que en un momento el estafador intenta llevar la conversación fuera de la plataforma, como puede ser, por ejemplo, a WhatsApp. Aquí, el criminal intentará que la víctima se exponga al envío de fotos o videos íntimos para luego chantajearlo. Por otro lado existe el engaño conocido catfhishing, en el cual un individuo crea un perfil falso en redes sociales, apps o páginas para conocer a terceros. Este engaño puede tener distintos fines, ya sea obtener dinero, comprometer a la víctima de alguna otra manera o simplemente para molestar.

Para minimizar los riesgos asociados con el uso de dispositivos sexuales inteligentes, desde ESET se recomienda tener en cuenta los siguientes consejos:

- Algunas aplicaciones ofrecen la posibilidad de controlar dispositivos localmente a través de BLE sin crear una cuenta de usuario. Si no planea permitir que otros usuarios controlen su dispositivo en forma remota a través de Internet, busque uno de estos dispositivos.

- En la medida de lo posible, evite compartir fotos o videos en los que pueda ser identificado y no publique tokens de control remoto en Internet.

- Evite registrarse en apps sexuales con un nombre o dirección de correo electrónico oficial que pueda identificarlo.

- Lea siempre los términos y condiciones de las apps y los sitios web en los que se registre.

- Utilice juguetes sexuales inteligentes en un entorno protegido y evite usarlos en lugares o áreas públicas donde puede haber muchas personas que pasan cerca (como los hoteles).

- Proteja siempre los dispositivos móviles que utiliza para controlar estos juguetes, manténgalos actualizados y tenga una solución de seguridad instalada en ellos.

- Realiza búsquedas en la web de las imágenes que te envía o que usa en su cuenta para corroborar la identidad. De esta manera podrás revisar si las fotos son legítimas o si las tomó de Internet. Puedes usar para eso Google Images o TinEye.

- Proteja la red de Wi-Fi doméstica que utiliza para la conexión con contraseñas seguras, algoritmos cifrados y actualizaciones periódicas del firmware del router.