Por Alessandro Bazzoni
Poco después de haberse decretado la pandemia, las ventas de los juguetes sexuales se dispararon, evidenciando el creciente pico de popularidad que están teniendo las aplicaciones de sexteo y otras formas de intimidad virtual. Los juguetes sexuales conectados a Internet han ido ganando cada vez más terreno como parte del concepto de sexnología (una combinación de sexo y tecnología). ESET, compañía líder en detección proactiva de amenazas, señala que al igual que con cualquier otro gadget con conexión a Internet, los juguetes inteligentes para adultos tienen considerables implicancias en la privacidad y seguridad de las personas.
Los juguetes sexuales inteligentes cuentan con una amplia gama de funciones. Permiten otorgar el control remoto de su dispositivo a otras personas a través de una app móvil, el navegador o su computadora. Los usuarios también pueden participar en chats grupales, enviar mensajes multimedia, realizar videoconferencias, sincronizar los patrones de vibración con una playlist de canciones o de audiolibros y conectar los dispositivos a un asistente de voz inteligente como Alexa. La mayoría pueden ser controlados utilizando Bluetooth Low Energy (BLE) a través de una app instalada en un teléfono. La aplicación se conecta a través de Wi-Fi o del operador de telefonía móvil a un servidor en la nube, que almacena la información de la cuenta de la persona y los archivos multimedia y, por supuesto, es responsable de permitir la funcionalidad principal, como chatear y/o realizar videoconferencias.
“Dada la amplia gama de funcionalidades que ofrecen estos productos la superficie de ataque es bastante grande. Hay ciertas características de diseño que los atacantes pueden explotar: la conexión local vía Bluetooth que algunas veces está desprotegida, vulnerabilidades en el servidor o en las aplicaciones, conexiones Wi-Fi inseguras y muchas otras.”, comentan Cecilia Pastorino y Denise Giusto Bilic, Investigadoras del Laboratorio de ESET Latinoamérica.
Tres escenarios de ataque posibles:
- Ejecutar código malicioso en el dispositivo: El atacante podría intentar modificar el código que se ejecuta dentro del dispositivo (su firmware) para realizar acciones maliciosas. En algunos casos, podría llegar a usar el dispositivo comprometido como un zombi, ordenando a la víctima a que envíe más comandos maliciosos a otros usuarios de la lista de contactos, o intentar causar daño físico al usuario, por ejemplo, sobrecalentando el dispositivo.
- Interceptar comunicaciones y robar datos: La información procesada por estos dispositivos y las aplicaciones es extremadamente sensible: nombres y e información de contacto, parejas sexuales, así como fotos y videos íntimos. Además, información sobre el uso del dispositivo que revela parte de las preferencias sexuales, como los patrones de uso o las horas de uso. En caso de robo, estos datos podrían usarse contra la víctima, exponiendo su intimidad o incluso en campañas de sextorsión.
El atacante también podría explotar vulnerabilidades en los protocolos que se utilizan para recopilar información o incluso conectarse al dispositivo evadiendo mecanismos de autenticación deficientes. En un escenario en el que alguien toma el control de un dispositivo sexual sin el consentimiento del usuario mientras lo está usando, e incluso envía diferentes comandos al dispositivo. ¿Se consideraría esto una agresión sexual? ¿La legislación actual contempla la posibilidad de sancionar tal comportamiento?
- Realizar un ataque de denegación de servicio: Esto impediría que el usuario envíe cualquier comando al juguete. Por ejemplo, el año pasado se descubrió que un popular cinturón de castidadcontenía vulnerabilidades que habrían permitido a un atacante bloquear remotamente el dispositivo, evitando que el usuario pudiera desbloquearlo. De hecho, esto derivó en ataques en los que el atacante primero bloqueó los dispositivos y luego pidió el pago de un rescate para desbloquearlos. Esto también demuestra lo importante que es la seguridad y la privacidad en las plataformas relacionadas con el sexo.
ESET acerca recomendaciones para proteger la privacidad y seguridad:
- Como en cualquier otra práctica de sexteo, evitar compartir fotos o videos en los que pueda ser identificado. No publicar en Internet tokens de control remoto. Además, evitar registrarse en aplicaciones utilizando un nombre oficial o una dirección de correo que permita identificarlo.
- Siempre utilizar juguetes sexuales por control remoto en un entorno protegido y evitar usarlos en lugares públicos o de mucho tránsito de personas, como bares u hoteles. Además, mientras se usa el juguete, mantener la aplicación conectada a él, ya que esto evita que el dispositivo anuncie su presencia.
- Asegurarse de comprar un dispositivo que sea seguro y que venga de un fabricante de confianza. Investigar un poco sobre los aspectos de seguridad del aparato; por ejemplo, utilizar los motores de búsqueda para averiguar si el juguete tiene un historial de vulnerabilidades graves. Si es así, revisar si hay parches disponibles y si hay actualizaciones frecuentes por parte del desarrollador. Descargar las apps para control y probar sus funciones antes de comprar el dispositivo puede darle un panorama general de cuán segura es la aplicación.
En cuanto a las apps de citas, desde ESET sostienen que la mayoría de las recomendaciones de seguridad giran en torno al sentido común.
- Tratar de compartir lo menos posible y solo lo que sea necesario. La mayoría de las veces para crear una cuenta solo se necesita vincularla con el perfil de Instagram o Facebook. Sin embargo, tanto Facebook como Instagram almacenan fotos e información personal relacionada con gustos e intereses que quizás no se tiene intención de compartir. Prestar especial atención a los permisos que se le está otorgando a la aplicación, muchas pueden solicitar más información que nombre o dirección de correo electrónico. Además, tener cuidado al compartir información sensible como su ubicación.
- Cuidado con los perfiles falsos. Asegurarse de que del otro lado de la app hay una persona real. Para eso se puede utilizar la búsqueda inversa de imágenes en Googleo Tineye para verificar que las imágenes no pertenecen a otra persona o si se utilizan en otros sitios web.
- Mantenerse alerta a las posibles estafas. No caer en la tentación de llevar la conversación a otras plataformas por fuera de la aplicación, ya que esta es una de las técnicas más comunes utilizadas por los estafadores. Además, intentar no revelar información personal como el número de teléfono o la dirección de correo electrónico, detalles de la familia, la ubicación de su casa, etc.
- Como en cualquier otro sitio o red social, asegurar el perfil. Utilizar contraseñas seguras y únicas para cada plataforma y habilitar siempre que sea posible el doble factor de autenticación.
- Finalmente, ya sea que se elige jugar con un juguete sexual inteligente o usar una aplicación de citas, leer siempre los términos y condiciones de las aplicaciones y sitios web en los que se registra o a los que se envía algún tipo de información. Prestar especial atención a los apartados que describen los datos recolectados por la empresa, así como la forma en que procesan dichos datos. Además, mantener el dispositivo móvil y las aplicaciones siempre actualizadas, instalar una solución de seguridad en cada equipo e intentar utilizar redes Wi-Fi protegidas al momento de compartir información sensible.
“Los juguetes sexuales inteligentes pueden ser divertidos, pero si no se planea dejar que otros controlen el dispositivo de manera remota, simplemente no compre un juguete sexual que se conecte a Internet.”, concluyen las especialistas de ESET.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/02/12/juguete-sexual-inteligente-consideraciones-jugar-forma-segura/
Por Alessandro Bazzoni