Una falla de seguridad en un juguete sexual de castidad conectado a Internet permitió, en octubre del año pasado, que ciberdelincuentes bloquearan de forma permanente el dispositivo Qiui Cellmate, que bloquea los genitales masculinos como un sistema moderno de castidad. Ahora se supo que los ciberdelincuentes pedían cerca de 270 dólares a cambio para liberarlo, además de otros detalles.

Esta semana, sitios especializados en ciberseguridad dieron a conocer que el código fuente del ransomware ChastityLock, que apuntaba específicamente a extorsionar a quienes usan estos juguetes sexuales, está ahora disponible para ser investigado.

Y para entender los detalles de una situación muy desagradable que tuvieron que atravesar los usuarios del Cellmate.

El Qiui Cellmate funciona bajo la idea inicial de que se lo coloque un hombre y que su pareja pueda regular cuándo le permite quitárselo y cuándo no. Pero el hackeo permitió que accedan terceros y puedan bloquearlo de forma remota, a cambio de un rescate (dinámica propia del ransomware).

La “clave” del juego sexual es que lo controle quien no lo tiene colocado, pero la situación derivó en un atípico sistema en el cual se perdía control del Cellmate. Su precio ronda los 190 dólares.El informe sobre la situación lo publicó la compañía Pen Test Partners, que publicó un video (en inglés) explicando cómo fue el hackeo y mostrando el dispositivo:

Cómo era la vulnerabilidad: la investigación

Los investigadores descubrieron que hacer una solicitud a cualquier punto final de API no requería autenticación, y que el uso de un "código de amigo" de seis dígitos devolvería "una gran cantidad de información sobre ese usuario", como ubicación, número de teléfono, contraseña de texto sin formato. Esto dio un resultado peligrosísimo.

"Un atacante no tardaba más de un par de días en exfiltrar toda la base de datos de usuarios y usarla para chantajear o phishing", escribieron los especialistas de Pen Test Partners en un informe.

Tras la divulgación, un atacante comenzó a apuntar a los usuarios de la aplicación móvil Qiui Cellmate que controlaban el juguete inteligente y bloqueaban el dispositivo de castidad. Se pidió a las víctimas que pagaran 0.02 bitcoins, alrededor de 270 dólares en el momento de los ataques.

El malware incluye un código que se comunica con los puntos finales de la API de Qiui para enumerar la información del usuario y enviar mensajes a la aplicación de la víctima y agregar amigos, según el análisis del investigador de seguridad Ax Sharma, recoge el sitio Bleeping Computer.

Los reportes: así se dieron cuenta las víctimas

Poco después de que comenzaran los ataques, surgieron una avalancha de quejas de usuarios víctimas que informaron que ya no podían controlar el juguete inteligente para adultos. Algunos de ellos fueron víctimas del atacante varias veces.

El atacante se burló de las víctimas cuando les preguntaron qué había sucedido, diciendo que usaron magia para tomar el control del juguete.

A algunos usuarios les preocupaba que la única forma de quitar el dispositivo Cellmate fuera cortándolo, ya que no había una anulación manual para el bloqueo de Bluetooth.

Según el informe, la situación era desesperante para los usuarios porque en primera instancia no parecía admitir escapatoria. El problema era que cortar mecánicamente el acero utilizado para la cerradura requería una amoladora angular, y dada la sensibilidad de la zona genital, esto no era del todo seguro.

Luego los usuarios se dieron cuenta de que al ponerse en contacto con el soporte remoto y pedir el desbloqueo a Cellmate era posible liberarse. Otro usuario se dio cuenta que con un destornillador podía desactivarlo, razón por la cual Qiui publicó un video mostrando cómo hacerlo. Este último vino con la anulación de la garantía del producto.

“El atacante dijo que nadie pagó el rescate. No está claro si esto se debió a que las víctimas desbloquearon el dispositivo ellas mismas, a través del soporte de Qiui, o si lo hizo el atacante”, publicó Bleeping Computer.