Los vibradores y vibradores inteligentes continúan siendo pirateados, pero Tor podría ser la respuesta para un sexo conectado más seguro

Los juguetes sexuales conectados recopilan una gran cantidad de datos sobre nuestros momentos más íntimos. El problema es que siempre son piratas. Bienvenido al campo emergente de Onion Dildonics

El primer encuentro de Kyle Machulis con un juguete sexual conectado tuvo lugar hace más de una década. El vibrador Trance, una caja negra pequeña, rectangular, conectada por USB, no fue diseñado originalmente para fines sexuales. The Vibrant Apéndice se ha lanzado como acompañamiento del shooter musical Rez PlayStation 2 y Dreamcast. Su objetivo era proporcionar una estimulación adicional a las personas que se abren camino a través de innumerables niveles. Pero los usuarios no tardaron mucho en ajustar su propósito (ligeramente NSFW).

«Lo conecté a Second Life para que la gente pudiera usar SL como interfaz sexual, porque podían ser o pueden hacer cualquier cosa que pudieran soñar y construir en el juego», explica Machulis. Ha pasado los últimos diez años con juguetes sexuales inteligentes con ingeniería inversa para hacerlos más divertidos. Incluso en 2006, cuando el concepto de juguetes sexuales conectados todavía era un nicho, hubo un interés considerable en el vibrador Rez. «Pero a la gente también le preocupaba que otros observaran el uso de los juguetes, lo controlaran mediante piratería, etc.», dice Machulis.

Con el crecimiento de Internet de las cosas, esos temores iniciales ahora se han hecho realidad. Las noticias sobre los defectos de seguridad de los juguetes sexuales inteligentes y la tecnología sexual en general son bastante comunes. Y la historia suele ser la misma: las fallas de Bluetooth, los problemas de la base de datos, las API inseguras y las aplicaciones poco fiables pueden permitir que los dispositivos se controlen de forma remota o permitir el acceso no autorizado a la información del usuario.

Esta semana, los consultores de la SEC descubrieron que los piratas informáticos podían romper los juguetes sexuales Panty Buster y Vibratissimo para «entretener» a la gente en Internet. Los detalles de la cuenta también fueron fácilmente accesibles. En otro incidente, se encontró accesible la cámara interna de un consolador endoscópico conectado a Wi-Fi. En otro ejemplo, el fabricante We-Vibe 4 Plus tuvo que pagar una compensación de 3 millones de libras luego de seguir el comportamiento de los clientes sin consentimiento. La lista continua.

Para los no iniciados, la gama de juguetes sexuales conectados abarca desde vibradores Bluetooth hasta masturbadores masculinos y enchufes inteligentes. Si hay un juguete sexual, puede estar seguro de que hay una versión conectada.

El campo de la teledildónica, el nombre semioficial del área, que se remonta a la década de 1970, es enorme. Para los clientes, las opciones de satisfacción sexual nunca han sido tan grandes, pero el potencial de productos mal creados también es mayor. «La superficie del ataque ahora es enorme», dice Machulis, que dirige el blog Metafetish. Afortunadamente, los investigadores están trabajando para arreglar lo que está roto.

Slurps de datos

Suceden varias cosas cuando se enciende un juguete sexual conectado. Primero, están las acciones físicas obvias, luego está el subproducto: los datos. «A menudo, los datos son tangenciales y no intencionales», dice el hacker RenderMan, que se especializa en seguridad de juguetes sexuales. Los datos que a menudo recopilan estos dispositivos son similares a la información creada por cualquier dispositivo: tiempo de conexión, tiempo de uso, nombres de cuentas y ubicaciones.

«Análisis, como modelo preferido, tiempos de uso, datos de diagnóstico, etc. son comunes y casi universales, también hay una especie de análisis para reportar accidentes o errores ”, dice RenderMan. «El tipo de cosas que pueden no importarnos en nuestro refrigerador, pero nuestros juguetes sexuales, esos datos significan mucho más».

Los mayores problemas surgen cuando los creadores de tecnologías sexuales inteligentes no piensan en qué datos se pueden extrapolar, agrega. No es difícil con este tipo de información construir un perfil de persona.

El caso We-Vibe 4, dividido por piratas informáticos conocidos como g0ldfisk y follower, en 2016, demostró claramente qué datos se pueden capturar. Los datos de temperatura del dispositivo se recopilaron una vez por minuto y el dispositivo midió la intensidad en tiempo real. Con quién está una persona, cuándo usa un juguete sexual y qué tipo de sexo tiene, todo se puede extraer de los datos, dice la investigadora en el anonimato y la confidencialidad, Sarah Jamie Lewis.

«Actualmente nos estamos moviendo hacia este mundo de juguetes sexuales conectados y tecnología sexual conectada, independientemente de lo que signifique consentimiento, confidencialidad o seguridad en este contexto», dice Lewis. Existe la posibilidad de que las personas espíen a sus parejas o cometan agresiones sexuales con hacks suficientemente avanzados. Añade que las empresas que están detrás de los productos conectados están interesadas en algunos de los datos producidos porque sus modelos de negocio pueden confiar en ellos. (Standard Innovation, los propietarios de We-Vibe, dijeron que utilizaron la información de We-Vibe 4 para «fines de investigación de mercado»).

Los investigadores ahora están tratando de cambiar actitudes y prácticas. En 2016, RenderMan creó Internet en Dongs, un proyecto, apoyado por el sitio de streaming PornHub, para analizar y mejorar los problemas relacionados con los juguetes sexuales del Internet de las Cosas. Cubrió las vulnerabilidades de seguridad de los productos, cerró las conspiraciones de Reddit y creó un código de conducta para quienes investigan problemas de seguridad en los juguetes sexuales.

Como suele ser el caso de los investigadores que encuentran vulnerabilidades en el código, ya sean cepillos de dientes conectados o infraestructura nacional crítica, revelar los problemas de sus propietarios puede ser problemático. «No siempre es fácil conseguirlos, porque no tienen un contacto especial para errores o vulnerabilidades», dice RenderMan. «Cuando logran pasar, generalmente se sorprenden y sospechan un poco de que alguien quiera reportar una vulnerabilidad en un juguete sexual». Ken Munro, de la firma de seguridad Pen Test Partners, encontró situaciones similares, y encontró numerosos defectos en los productos de tecnología sexual.

«No es necesariamente que sean perezosos, malintencionados o que no les importe, pero simplemente no se dieron cuenta de que estaban a 100 milisegundos de distancia de cada cadena del planeta», agrega RenderMan. «Intervinimos para despertar a la industria. Están cometiendo errores ahora que resolvimos hace 15 años».

La solución al problema

En el verano de 2017, el vibrador de la mesa de Lewis se aceleró. «En un momento, en Twitter, tenía cinco o seis personas anónimas produciendo el vibrador en la mesa en todas partes», dice. La prueba fue uno de los primeros prototipos de un desarrollo llamado Onion Dildonics.

El sistema está diseñado para ser una forma completamente anónima de usar un juguete sexual conectado, sin que los datos se envíen a la empresa propietaria. Sin que los datos se transfieran a los servidores, no hay forma de ser pirateados o explotados. «Todo lo que transfiera a través de una red debe ser consensuado», dice Lewis. Esto incluye metadatos: información sobre quién, cómo, qué y cuándo se registran los productos. «Esta información no debe estar disponible para nadie a menos que la proporcione explícitamente».

Usando los protocolos de Ricochet, Lewis creó una forma de controlar un vibrador de forma remota mientras estaba conectado a la red Tor anónima. «100% cifrado a la par con el cibersexo sobre servicios ocultos», escribió en Twitter.en el momento. Lewis dice que el método no es técnicamente difícil de crear, pero ha funcionado para hacer versiones fáciles de usar y ampliamente utilizadas por las empresas de tecnología sexual.

Pero a medida que aumenta la complejidad, existe una compensación entre un sistema que es seguro y fácil de usar. «Una configuración de Bluetooth más complicada significa más tiempo para conectar y configurar el juguete, y cuando la gente quiere tener sexo, más tiempo entre el deseo de tener sexo y el hecho de tener sexo es una verdadera ruptura», dice Machulis. Sugiere desarrollar sistemas que sean anónimos, tengan conexiones seguras y no decepcionen al usuario.

Cuando se trata de corregir fallas de seguridad de software y hardware en dispositivos, hay algunas cosas básicas que las empresas adultas deben corregir. El cifrado SSL / TLS para aplicaciones debe ser estándar. Todas las personas con las que se habló para esta historia destacaron protocolos simples de ciberseguridad, como autenticación OAuth, almacenamiento seguro, pruebas de penetración y auditorías periódicas. «Asegúrese de que los desarrolladores comprendan la seguridad», agregó Munro. «Si contrata su desarrollo, asegúrese de que el contrato especifique los estándares de seguridad».

Si las empresas de tecnología sexual no consideran estas cosas, las consecuencias para los usuarios podrían ser graves. «Estos dispositivos se están volviendo más baratos, la gente está comprando más», dice Lewis. «Si pensamos en dos, tres o cuatro años antes, cuando seguimos viendo este nivel básico de fallas en la seguridad, es horrible lo que eso significa para la idea de una agresión sexual remota».

Todas las noticias de la ciencia de la tierra en un sólo sitio. noticias de Ciencia.