Por error tecnológico juguete sexual de castidad se bloquea

La aplicación que maneja el candado tuvo fallos y cerro todos los candados conectados a internet

Nadia A. Espejel| La Prensa

  · miércoles 7 de octubre de 2020

Foto: Cortesía

La sociedad cada vez confía más en conexiones a internet especialmente cuando se trata de seguridad, lo cual el siguiente ejemplo no es una buena idea, especialmente cuando de juguetes sexuales se trata.

Resulta que la compañía de seguridad Pen Test Partners, con sede en Reino Unido creó entre muchos otros artilugios un dispositivo de castidad, al parecer forma parte de una amplia gama de juguetes sexuales que pueden operarse a través de internet.

Pues resulta que este candado diseñado para los hombres, puede ser manipulado de manera remota por medio de una app; la cual puede cerrar el candado por el tiempo que decida el operador. ¿buena idea?

Bueno, si los cinturones de castidad en la Edad Media no fueron una idea apta, pues en la era digital tampoco son lo mejor, puesto que la tecnología como todo en el mundo puede y fallará, algo que a los ingenieros de Pen Test Partners, al parecer no se les ocurrió.

Foto: Cortesía

El bloqueo de castidad Cellmate funciona al permitir que un socio de confianza bloquee y desbloquee de forma remota la cámara a través de Bluetooth mediante una aplicación móvil. Esa aplicación se comunica con la cerradura mediante una API. Pero esa API se dejó abierta y sin contraseña, lo que permite a cualquiera tomar el control completo del dispositivo de cualquier usuario.

Alex Lomas, investigador de Pen Test Partners, dijo en una publicación de blog que un atacante podría bloquear "a todos dentro o fuera" muy rápidamente. "Tampoco hay una función de anulación de emergencia, por lo que si estás encerrado no hay salida", escribió.

La API no segura también permitió el acceso a los mensajes privados y la ubicación precisa de la aplicación del usuario.

TechCrunch se enteró por primera vez de la vulnerabilidad en junio. Los investigadores contactaron a Qiui, con sede en China, sobre la API defectuosa. Desconectar la API vulnerable habría bloqueado a cualquiera que use el dispositivo. El desarrollador lanzó una nueva API para nuevos usuarios, pero dejó la API no segura para los usuarios existentes.

El director ejecutivo de Qiui, Jake Guo, le dijo a TechCrunch que una solución llegaría en agosto, pero que la fecha límite llegó y se fue. “Somos un equipo de sótano”, dijo. En un correo electrónico de seguimiento que explica los riesgos para los usuarios, Guo dijo: "Cuando lo solucionamos, crea más problemas".

Al final, Qiui no cumplió con los tres plazos autoimpuestos para reparar la API vulnerable, dijo Lomas.

No se sabe si alguien explotó maliciosamente la API vulnerable. Varias reseñas de usuarios de la aplicación se quejaron de que la aplicación tenía errores que harían que el dispositivo permaneciera bloqueado.