Las ventas de juguetes sexuales inteligentes se duplicaron durante la cuarentena del COVID-19, pero ¿Qué tan seguros son? No es novedad que estos dispositivos IoT (Internet de las cosas) tienen vulnerabilidades.
Debido al distanciamiento social y las restricciones de movilidad, muchas personas empezaron a adquirir estos dispositivos por Internet.
En este contexto, ESET descubrió diversas fallas y vulnerabilidades en estos juguetes para adultos que pueden ser riesgosos y dañinos para el usuario.
- Ciberseguridad para los vehículos conectados
- Cómo se usan las brechas de seguridad de las apps para engañar a los usuarios
Cada mes ingresa al mercado nuevos modelos de estos productos, pero ¿los fabricantes están haciendo lo necesario para proteger los datos y la privacidad de las personas? Uno supone que estas compañías fortalecen sus mecanismos para asegurar que la información de los usuarios está a salvo y libre de los ciberataques.
No obstante, muchas investigaciones han demostrado que estos dispositivos pueden ser controlados por personas maliciosas. Estos hallazgos son relevantes, ya que estos juguetes sexuales han aumentado sus ventas por la pandemia.
“La era de los juguetes sexuales inteligentes apenas está comenzando. Los últimos avances en la industria incluyen modelos con capacidades de realidad virtual (VR) y robots sexuales con tecnología de inteligencia artificial que cuentan con cámaras, micrófonos y capacidades de análisis de voz. Muchas de las fallas que tienen estos juguetes inteligentes son habituales en dispositivos IoT y lo que aumenta el riesgo es el tipo de información sensible que manejan estos dispositivos.”, comenta Cecilia Pastorino, investigadora de seguridad de ESET Latinoamérica.
IoT: Juguetes sexuales y seguridad en riesgo
La información procesada por los juguetes sexuales inteligentes es confidencial, nombres, preferencias y orientaciones, lista de parejas, fotos y vídeos íntimos, entre otros. Si todo esto cae en las manos equivocadas puede tener grave consecuencias.
Por otro lado, ¿Cuáles serían las consecuencias de que alguien tomara el control de un dispositivo sexual sin el consentimiento del usuario? ¿Se podría describir como un acto de agresión o abuso sexual? La noción del delito cibernético adquiere una apariencia diferente si la miramos desde la perspectiva de la invasión de la privacidad, el abuso del poder y la falta de consentimiento para un acto sexual.
Cibercrimen en los juguetes sexuales inteligentes y apps de citas
Respecto a su arquitectura, muchos de estos dispositivos para adultos se pueden controlar por medio de Bluetooth Low Energy (BLE) desde una app instalada en el teléfono. De esta manera, los juguetes actúan como sensores que solo recopilan datos y los envían a la aplicación para su procesamiento.
La app es la encargada de configurar cualquier opción en el dispositivo y controlar el proceso de autenticación del usuario. Por ello, se conecta a través de Wi-Fi a un servidor en la nube que almacena la información de la cuenta. En algunos casos, la aplicación también actúa como intermediaria entre varios usuarios que utilizan funciones de chat, videoconferencia y transferencia de archivos. O que desean ceder el control de su dispositivo a usuarios remotos compartiendo sus tokens.
El equipo de investigación de ESET Latinoamérica presentó en DEF CON IoT Village una nueva investigación sobre juguetes sexuales inteligentes no seguros. La investigación se basó en dos dispositivos, un portátil llamado Jive, fabricado por We-Vibe, y el masturbador masculino Max de Lovense.
- Empresas peruanas no están preparadas para ciberataques de grado 4 y 5
- 4 de cada 10 PyMES han sufrido ciberataques en América Latina
El especialistas descubrieron que ambos dispositivos tenían vulnerabilidades en la implementación de las comunicaciones por BLE. Esto permite al atacante interceptar los datos que se envían y controlar de manera remota los dispositivos a través de ataques MitM (Man-in-the-Middle) por BLE.
Esto implica que cualquiera puede usar un simple escáner de Bluetooth para localizar y controlar los juguetes sexuales inteligentes que se encuentran cerca. Esta vulnerabilidad es muy común en los dispositivos IoT, dado que la mayoría de los modelos disponibles en el mercado no implementan el emparejamiento de forma segura. Esto permite que cualquiera pueda conectarse y controlarlos.
Por otra parte, en las apps de citas un tipo de engaño común es la sextorsión. Esto que suele comenzar como una relación normal entre dos personas que se empiezan a conocerse, hasta que en un momento el estafador intenta llevar la conversación fuera de la plataforma. Por ejemplo, por WhatsApp u otro. Aquí, el criminal intentará que la víctima se exponga al envío de fotos o videos íntimos para luego chantajearlo.
También está el catfhishing, en el cual un individuo crea un perfil falso en redes sociales, apps o páginas para conocer a terceros. Este engaño puede tener distintos fines, ya sea obtener dinero, comprometer a la víctima de alguna otra manera o simplemente para molestar.
Para minimizar los riesgos asociados con el uso de dispositivos sexuales inteligentes, ESET recomienda:
-Algunas aplicaciones ofrecen la posibilidad de controlar dispositivos localmente a través de BLE sin crear una cuenta de usuario. Si no planea permitir que otros usuarios controlen su dispositivo en forma remota a través de Internet, busque uno de estos dispositivos.
-En la medida de lo posible, evite compartir fotos o videos en los que pueda ser identificado y no publique tokens de control remoto en Internet.
-Evite registrarse en apps sexuales con un nombre o dirección de correo electrónico oficial que pueda identificarlo. Lea siempre los términos y condiciones de las apps y los sitios web en los que se registre.
-Utilice juguetes sexuales inteligentes en un entorno protegido y evite usarlos en lugares o áreas públicas donde puede haber muchas personas que pasan cerca (como los hoteles).
-Proteja siempre los dispositivos móviles que utiliza para controlar estos juguetes, manténgalos actualizados y tenga una solución de seguridad instalada en ellos.
-Realiza búsquedas en la web de las imágenes que te envía o que usa en su cuenta para corroborar la identidad. De esta manera podrás revisar si las fotos son legítimas o si las tomó de Internet. Puedes usar para eso Google Images o TinEye.
-Proteja la red de Wi-Fi doméstica que utiliza para la conexión con contraseñas seguras, algoritmos cifrados y actualizaciones periódicas del firmware del router.
“Como se ha demostrado en el pasado, el desarrollo seguro y la concientización pública serán la clave para garantizar la protección de los datos confidenciales. Además, es necesario capacitar a los usuarios para que se conviertan en consumidores inteligentes que puedan exigirles a los fabricantes la implementación de mejores prácticas.”, concluyó Denise Giusto, investigadora de seguridad del Laboratorio de ESET Latinoamérica.
