Últimas 15minutos

Los juguetes eróticos pueden exponer tu privacidad sin siquiera salir de la habitación

Los investigadores de la compañía de ciberseguridad ESET analizaron "en profundidad" los productos We-Vibe Jive y Lovense Max

Las consecuencias de una brecha en los datos en este tipo de productos pueden ser "muy problemáticas para la víctima" (Pixabay)

15 minutos. Los juguetes eróticos o para adultos también tienen su versión conectada, que se vincula con una aplicación móvil para ampliar sus funciones, pero generalmente acusan una falta de protección que pone en riesgo datos sensibles de sus usuarios, exponiendo su privacidad. Así lo constató la compañía ESET con los productos We-Vibe Jive y Lovense Max.

Cada vez más juguetes eróticos incorporan aplicaciones para el móvil, mensajería, videochat y conectividad. Esto los convierte en atractivos no solamente para aquellos que quieran disfrutar, sino también para los ciberdelincuentes, que encontraron un nuevo vector de ataque.

Las consecuencias de una brecha en los datos en este tipo de productos pueden ser "muy problemáticas para la víctima". Pueden filtrar información privada y sensible, como la orientación sexual, los comportamientos e incluso fotografías íntimas, explicaron desde ESET.

Los investigadores de esta compañía de ciberseguridad analizaron "en profundidad" 2 juguetes conectados para adultos: We-Vibe Jive y Lovense Max. Encontraron vulnerabilidades en las aplicaciones que los controlan y que podrían facilitar la instalación de malware en el teléfono, cambios en el firmware del juguete y hasta que se modifiquen las acciones del dispositivo, llegando a causar daños físicos.

We-Vibe Jive

We-Vibe Jive es un vibrador manos libres que se puede utilizar fuera del entorno doméstico. A través del análisis de su aplicación, los investigadores explicaron que envía continuamente señales para anunciar su presencia y facilitar la conexión. Es decir, cualquier dispositivo que lea señales Bluetooth puede descubrirlo si se encuentra cerca (a un máximo de unos 8 metros).

Jive utiliza el método de emparejamiento menos seguro y el código temporal utilizado para el emparejamiento es cero. Esto significa que cualquier dispositivo podría utilizar esa clave para conectarse con el vibrador.

De este modo, los atacantes podrían identificar el dispositivo y utilizar la señal para llegar hasta el usuario que lleva puesto el vibrador. Además, no es necesario descargar la aplicación oficial para poder controlar el dispositivo, ya que se podría manejar desde la mayoría de los navegadores.

Por otra parte, los archivos multimedia compartidos por los usuarios durante las sesiones de chat se guardan en las carpetas privadas de la aplicación. Sin embargo, los metadatos de estos archivos permanecen como ficheros compartidos, por lo que cada vez que un usuario envía una foto al teléfono, se está enviando información adicional sobre el dispositivo o la geolocalización exacta.

Lovense Max

En el caso del masturbador masculino Lovense Max, este puede sincronizarse con otro dispositivo remoto, lo que permitiría a un atacante tomar el control de ambos, comprometiendo tan solo uno de ellos.

A diferencia del otro juguete, los archivos multimedia no incluyen metadatos cuando se recibe información desde el dispositivo. Además, la aplicación permite configurar una clave de 4 dígitos, lo que dificulta la intención de los ciberdelincuentes.

No obstante, algunos elementos del diseño de la aplicación pueden suponer una amenaza para la privacidad del usuario. Por ejemplo, la opción de reenviar imágenes a terceros sin conocimiento del propietario o que los usuarios que hayan sido borrados o eliminados puedan seguir teniendo acceso al historial del chat.

Lovense Max no utiliza autenticación para conexiones BLE, así que se pueden utilizar ataques man-in-the-middle para interceptar la conexión y enviar comandos de control a los motores del dispositivo. La aplicación también utiliza la dirección de correo electrónico en la ID del usuario, lo que puede suponer un problema para la privacidad, ya que se comparte la dirección con todos los teléfonos conectados al chat.

ESET envió tanto a Lovense como a We-Vibe un informe con las vulnerabilidades de la privacidad descubiertas en sus juguetes eróticos. Las mismas fueron solucionadas antes de la publicación del informe. ¡Calma!

Ver más