Techbit

Este cinturón de castidad inteligente puede ser hackeado con facilidad

Lo que prometía un divertido juego en pareja podía haber terminado en un serio problema

El dispositivo tiene errores en su app. Imagen Pixabay
08/10/2020 |14:50
Redacción El Universal
Pendiente este autorVer perfil

En el hogar inteligente prácticamente todo está conectado a internet . A través de una app móvil es posible controlar , la música, los electrodomésticos y, algunos aventureros, llevan esta innovación hasta su cuarto. El problema es que, aunque muy conveniente y hasta divertido hay, algunos riesgos de seguridad a considerar. Como sucedió con una especie de cinturón de castidad inteligente que puso en peligro a los usuarios.

Expertos en seguridad informática han advertido en diversas ocasiones que los dispositivos del internet de las cosas pocas veces están diseñados considerando la seguridad y que muchos utilizan una protección débil por lo que pueden ser fácilmente hackeados , prueba de ello es Cellmate , un juguete sexual conectado a internet, diseñado por la empresa Qiui .

Pen Test Partners,

Newsletter
Recibe en tu correo las noticias más destacadas para viajar, trabajar y vivir en EU

una empresa de ciberseguridad con sede en el Reino Unido, dio a conocer un informe en el que demuestra que una falla en este cinturón de castidad inteligente, considerado por sus creadores como el "primer dispositivo de castidad controlado por una aplicación del mundo", podría haber permitido a cualquiera bloquear de forma remota y permanente el candado .

Para entender porqué los usuarios estaban corriendo peligro hay que explicar que Cellmate es un dispositivo que se coloca en el pene y se cierra mediante un anillo de metal. El desbloqueo del candado se realiza de forma remota a través de Bluetooth que se activa mediante una aplicación móvil, sin ningún tipo de PIN. Lo que los investigadores descubrieron es que la app se comunica con la cerradura mediante una API , misma que se dejó abierta y sin contraseña, lo que significa que cualquiera podría tomar el control completo del dispositivo de cualquier usuario.

La posibilidad de que alguien más pueda controlar un dispositivo tan personal ya es motivo de miedo, pero los usuarios también debían considerar que, en caso de quedar a atrapados, recurrir a la fuerza no sería una buena idea pues el candado fue diseñado de tal manera que, para removerlo sin la app, sería necesaria la intervención de un cortador de pernos de alta precisión o un ¡taladro!

Alex Lomas, investigador de Pen Test Partners, dijo en una publicación en el blog de la empresa que un atacante podría bloquear "a todos dentro o fuera" muy rápidamente. Y advirtió que la compañía desarrolladora del juguete no se preocupó por incluir una función de anulación de emergencia , “por lo que si estás encerrado no hay salida", escribió.

Este cinturón de castidad inteligente puede ser hackeado con facilidad

También podían ver sus mensajes y ubicación

En este punto los compradores del Cellmate ya deberían estar preocupados, pero los investigadores de seguridad advirtieron que los riesgos eran más. Debido a que la API no era segura, si un hacker entraba al sistema también podía tener acceso a información como sus nombres, cumpleaños y hasta los mensajes privados y la ubicación precisa del usuario.

Cuando los investigadores contactaron a la empresa Qiui, con sede en China, para informarle sobre los riesgos de la API defectuosa, se enfrentaron a un dilema, si desconectaban la API vulnerable todos los dispositivos existentes se bloquearían, lo que significa que si alguien lo llevaba puesto quedaría atrapado. La solución que encontraron fue desarrollar una nueva API para los nuevos usuarios, es decir que quienes compraron el juguete antes de junio de 2020 siguen en riesgo.

Sobre el tema, el director ejecutivo de Qiui, Jake Guo, le dijo al medio estadounidense TechCrunch que lanzarían una solución para todos en agosto. Sin embargo, según informaron después los investigadores de Pen Test Partners, la actualización para mejorar la seguridad no ha llegado.

Sin embargo, hasta ahora no se sabe si alguien explotó maliciosamente la API vulnerable. Lo que sí ha sucedido es que, en las reseñas del producto, varios usuarios se han quejado de que fallas en la app no les ha permitido abrir el candado cuando han querido, uno de ellos incluso denunció que tuvo una herida que tardó un mes en sanar.

El dispositivo, sigue disponible en tiendas como Amazon por un precio de 189 dólares, unos 4 mil pesos. Pero, por muy divertidos que parezcan estos juguetes, la recomendación es utilizar aquellos que no necesitan conectarse a .