¿Usuarios realmente tienen el control?
Los juguetes sexuales inteligentes, que en su mayoría son dispositivos que se pueden controlar a través de Bluetooth Low Energy (BLE) desde una app instalada en un smartphone, son la manifestación tecnológica de un fenómeno que está transformando a la sociedad a medida que los dispositivos de Internet de las Cosas (IoT) forman parte de la vida cotidiana y que exige vislumbrar riesgos en materia de ciberseguridad, protección de datos, privacidad e incluso, seguridad física de las personas.
«La era de los juguetes sexuales inteligentes apenas comienza. Los últimos avances en la industria incluyen modelos con capacidades de realidad virtual y robots sexuales con tecnología de inteligencia artificial que incluyen cámaras, micrófonos y funcionalidades de análisis de voz basadas en técnicas de inteligencia artificial», refieren Cecilia Pastorino y Denise Giusto Bilić, especialistas de ESET.
En el análisis «Malas vibraciones. Vulnerabilidades en juguetes sexuales inteligentes», señalan que estos dispositivos son una pequeña expresión de la sexualidad en el mundo digital, área que también incluye apps de citas y otros dispositivos como las “novias virtuales”.
Es claro que la información procesada por los juguetes sexuales inteligentes es extremadamente confidencial: nombres, preferencias y orientaciones sexuales, lista de parejas sexuales, información sobre el uso del dispositivo, fotos y videos íntimos; toda esta información puede tener consecuencias desastrosas si cae en manos equivocadas.
El aprovechamiento de vulnerabilidades o errores en los dispositivos sexuales para identificar, localizar y perseguir, por parte de gobiernos que prohíben a los ciudadanos ciertas prácticas sexuales, así como ciberdelincuentes que ven la oportunidad de ejecutar sextorsiones, muchos son los interesados en este tipo de información.
Además de las preocupaciones sobre la confidencialidad de los datos, señala el documento, es fundamental considerar la posibilidad de que vulnerabilidades en la app permitan la instalación de malware en el teléfono o el cambio de firmware en los juguetes.
«Estas situaciones podrían conducir a ataques de denegación de servicio (DoS) que bloquean la ejecución de cualquier comando, como ocurrió con una jaula de castidad masculina inteligente que recientemente ha demostrado tener una vulnerabilidad: la cual le permitiría a los atacantes bloquear los dispositivos en forma masiva, con el potencial de dejar atrapadas a miles de personas».
Estos dispositivos inteligentes, señalan las analistas de ESET, también podrían utilizarse para llevar a cabo acciones maliciosas y propagar malware, o incluso modificarse en forma deliberada para causar daño físico al usuario, por ejemplo, haciendo que se sobrecalienten y exploten.
Imposible hablar de las implicaciones de un ataque a un dispositivo sexual sin reconsiderar también la trascendencia del abuso sexual en el contexto de la transformación digital que atraviesa la sociedad. ¿Cuáles serían las consecuencias de que alguien tomara el control de un dispositivo sexual sin el consentimiento del usuario? ¿Se podría describir como un acto de agresión o abuso sexual?
«La noción del delito cibernético adquiere una apariencia diferente si la miramos desde la perspectiva de la invasión de la privacidad, el abuso del poder y la falta de consentimiento para un acto sexual. El consentimiento obtenido mediante el fraude no es consentimiento en absoluto, y esta laguna legislativa en las normativas vigentes deberá resolverse para garantizar la seguridad sexual, física y psicológica de los usuarios en el ámbito digital».
Al ser controlados, en su gran mayoría a través de Bluetooth Low Energy (BLE) desde una app instalada en un teléfono inteligente, los juguetes sexuales actúan como sensores, que recopilan datos y los envían a la app para su procesamiento, configuración y proceso de autenticación del usuario.
Para ello, se conecta a través de WiFi a un servidor en la nube que almacena la información de la cuenta. En algunos casos, la aplicación también actúa como intermediaria entre varios usuarios que utilizan funciones de chat, videoconferencia y transferencia de archivos, o que desean ceder el control de su dispositivo a usuarios remotos compartiendo sus tokens.
Algunos fabricantes ofrecen a los usuarios la posibilidad de conectarse a sus dispositivos desde un software instalado en sus computadoras y utilizando un donglef BLE especial, también se puede usar la API BLE en ciertos navegadores para conectarse a los juguetes sexuales mediante una app web; sin embargo, las numerosas posibilidades de conexión con los dispositivos brindan más flexibilidad, pero también aumentan la superficie de ataque.
«Esta arquitectura presenta varios puntos débiles que podrían usarse para comprometer la seguridad de los datos procesados: interceptar la comunicación local entre la app de control y el dispositivo, entre la app y la nube, entre el teléfono remoto y la nube, o atacando directamente el backend».
Por supuesto, no todos los ataques se llevan a cabo a través de conexiones de red; algunos escenarios maliciosos podrían iniciarse utilizando malware previamente instalado en el teléfono o mediante la explotación de una falla en el sistema operativo.
Sin embargo, cada vez más investigaciones demuestran que estos dispositivos contienen fallas que podrían amenazar la seguridad de los datos almacenados así como la del usuario. Las fallas van desde procedimientos de autenticación deficientes hasta dispositivos que anuncian constantemente su presencia, lo que permite que cualquiera pueda conectarse a ellos.
Para minimizar los riesgos asociados con el uso de dispositivos sexuales inteligentes, ESET recomienda tener en cuenta los siguientes consejos:
1. Algunas aplicaciones ofrecen la posibilidad de controlar dispositivos localmente a través de BLE sin crear una cuenta de usuario. Si no planea permitir que otros usuarios controlen su dispositivo en forma remota a través de Internet, busque uno de estos dispositivos.
2. Evite compartir fotos o videos en los que pueda ser identificado y no publique tokens de control remoto en Internet.
3. Evite registrarse en apps sexuales con un nombre o dirección de correo electrónico oficial que pueda identificarlo.
4. Lea siempre los términos y condiciones de las apps y los sitios web en los que se registre.
5. Utilice juguetes sexuales inteligentes en un entorno protegido y evite usarlos en lugares o áreas públicas donde puede haber muchas personas que pasan cerca (como los hoteles).
6. Descargue las apps y pruebe sus funciones antes de comprar el dispositivo. Esto le dará una idea de qué tan seguro es el producto. Utilice los motores de búsqueda para saber si el modelo que piensa comprar ya tuvo vulnerabilidades en el pasado.
C$T