“¡Dejó de funcionar y quedé atascado!”: un juguete sexual puede quedar trabado por una falla en la aplicación

Las ventajas de conectar a internet todos los dispositivos, aparatos y electrodomésticos que sea posible parece haber topado con un obstáculo digno de ser noticia, a juzgar por la cantidad de agencias internacionales y sitios especializados en tecnología que se ocuparon de la falla en Cellmate Chastity Cage, una suerte de cinturón de castidad para juegos de dominación masculina, de la empresa china Qiui.

La falla permite hackear la aplicación que controla el dispositivo, lo cual hace que la persona que lo esté usando quede, literalmente, separada de su propio pene. Así se elimina, se podría decir, todo lo inteligente de este juguete sexual inteligente.

“¡La aplicación dejó de funcionar completamente después de tres días y quedé atascado!”, escribió un usuario del artefacto, que consiste en un equivalente de cerrojo que se ajusta a la anatomía de los genitales masculinos, y que otra persona abre o cierra según desea, como parte de una práctica de BDSM, la dominación, desde una app. La aplicación opera sobre el dispositivo físico mediante una interfaz de programación de aplicaciones (API), donde reside la vulnerabilidad que ha causado problemas, al punto que algunos dispositivos han tenido que ser rotos con un cortametales para liberar a los usuarios.

“Este software es peligroso, ¡no te encierres!”, citó The Verge a otra víctima. “La aplicación dejó de abrirse después de una actualización. Esto es aterrador, dada la cantidad de confianza que he depositado en ella, y el sitio [de Qiui] no ofrece ninguna explicación”, agregó un segundo hombre frustrado. Y un tercero se quejó: “¡Mi pareja quedó atascada! Esto es ridículo. ¡Muy peligroso! ¡Y aterrador! Dado lo que la aplicación controla, es menester que sea fiable”.

TechCrunch recibió las primeras denuncias sobre el funcionamiento erróneo en junio. El medio especializado en tecnología contactó a la compañía desarrolladora en China, que no pudo suspender la API porque eso hubiera dejado atascado a todos los usuarios que estuvieran empleando su producto, una estrella en el universo de la teledildónica, ciberrecursos para el sexo a distancia. Así que Qiui decidió, en cambio, lanzar una API diferente para los nuevos usuarios. Pero eso dejó a los usuarios ya existentes potencialmente en problemas.

El sitio de tecnología advirtió además que, por carecer de seguridad, la API también permite que terceros accedan a los mensajes privados y la ubicación geográfica del usuario.

“El director ejecutivo de Qiui, Jake Guo, dijo a TechCrunch que hacia agosto habría una solución, pero esa fecha llegó y pasó”, explicó TechCrunch. El CEO argumentó entonces que la compañía era, en realidad, un pequeño equipo y que estaban intentando solucionar el inconveniente. Sin embargo, hasta aquel momento, dijo: “Cuanto más lo arreglamos, más problemas crea”.

Con una corriente constante de reclamos se llegó hasta octubre, cuando la firma de seguridad británica Pen Test Partners analizó el glitch en Cellmate Chastity Cage y publicó un detallado artículo sobre el fallo en el llamado “primer dispositivo de castidad controlado mediante una app en el mundo”. El texto analizó cómo la API, al estar abierta y sin clave, permite que cualquiera con un conocimiento mínimo asuma el control de alguno o todos los dispositivos de Qiui y trabe el anillo metálico debajo del pene de los usuarios sin que ellos o sus parejas puedan intervenir.

El juego deja de ser tal cuando es necesaria la intervención de un cortador de metales de alta resistencia para liberar a las personas. Eso se debe a que el cinturón de castidad no cuenta con un modo de control manual ni una llave física. Y aun con las herramientas necesarias, cortar el anillo metálico no es sencillo, ya que está asegurado con fuerza a zonas de enorme sensibilidad. Como alternativa, Pen Test Partners ofreció recargar el circuito que controla la cerradura con unos tres voltios de electricidad, lo que tienen dos baterías AA.

“No nos dedicamos a avergonzar el fetichismo. Las personas deberían poder emplear estos dispositivos con seguridad y sin riesgo de que se filtren datos personales”, subrayó Pen Test Partners. Para la empresa de seguridad, el modo en que funciona la teledildónica es parte de su investigación porque “es probable que sus usuarios quieran mantener en reserva sus vidas privadas” y, por ende,, continúa: “Deberían esperar que la privacidad fuera por default y la seguridad, por diseño”. Además, agregó: “La venta de juguetes inteligentes para adultos ha aumentado de manera significativa durante el confinamiento” por la pandemia de COVID-19.

Si bien el aparato de Qiui no es el primero en su clase, sí lo es en tanto su cerrojo se controla por Bluetooth y una app móvil. “La idea es que quien lo usa puede darle el control de la cerradura a otra persona. Pero descubrimos que un atacante remoto puede impedir la apertura por Bluetooth, atascando al usuario permanentemente en el dispositivo”.

Al comienzo de la investigación Qiui cooperó con los expertos británicos, y les mostró cómo se remediaron algunos de los problemas; sin embargo, ante la persistencia de otros, y de las preguntas al respecto, la compañía dejó de responderles, y tampoco atendió a periodistas y vendedores del producto. “Dada la facilidad con que se produjeron estos hallazgos, y dado que la empresa actualmente trabaja en otro dispositivo que presenta potencialmente un daño físico mayor (un cinturón de castidad “interno”), nos sentimos obligados a publicar esto”, aclaró Pen Test Partners.

La firma Qiui se expresó mediante un comunicado de su CEO que reprodujo AFP, en el que aseguró que en caso de ser hackeado, “cuando nada más funciona”, su juguete Cellmate se puede destrabar físicamente usando un destornillador. Por eso, insistió Guo, “simplemente no es cierto” que los usuarios puedan quedar atascados. “En caso de que alguien no pueda contactar a nuestro servicio de atención al cliente, la segunda opción es forzar la apertura de la tapa de Cellmate con un destornillador o algo similar, como muestra el video en nuestro sitio”.

En diálogo con The Verge, Alex Lomas, experto en seguridad de Pen Test Partners, observó que “no es extremadamente inusual encontrar problemas como este en muchos campos de la internet de las cosas (IoT), y la teledildónica no es una excepción”. Espera que pronto varios países comiencen a imponer estándares para los productos IoT, y en particular aquellos que tienen que ver con la intimidad: “Personalmente, creo que tendrían que tener condiciones de seguridad más altas que, digamos, los bombillos de luz”. Mientras tanto, sin embargo, aconsejó que, antes de comprar algún producto, se haga una búsqueda que incluya su nombre y el término “vulnerabilidades”.

Aunque hasta el momento no se sabe si alguien hizo un uso malicioso de esta falla, “varios países tienen leyes opresivas que podrían exponer a los usuarios de este tipo de dispositivos a un interés injustificado de las autoridades o los fanáticos que discriminan”, recordó.

MÁS SOBRE ESTE TEMA: