Muchas de las cosas malas que pueden pasar acaban ocurriendo, y más en asuntos de ciberseguridad. Es la historia reciente del Qiui Cellmate Chastity Cage, un cinturón de castidad conectado que se conecta a los smartphones por Bluetooth y WiFi, y que permite que la persona que se lo ponga no tenga acceso a sus genitales.
En octubre, Alex Lomas, investigador de seguridad de Pen Test Partners, ya avisó públicamente de que el cinturón contaba con un agujero de seguridad, tras haberlo comunicado a su fabricante meses antes.
El problema es que nada de esto ha servido para evitar el fatal desenlace: que algunos propietarios del cinturón reciban los mensajes de un hacker pidiendo 587 euros en bitcoins si quieren que se les desbloquee el cinturón. Un ransomware que asusta más que otros que se hayan podido vivir con datos poco importantes.
Las víctimas que han contado que han sufrido el ataque no llevaban el cinturón puesto
Con el mensaje de "Tu poll** ahora es mía", el hacker anunció a una de las víctimas que tenía el control del cinturón de castidad. Es lo que mostraba la persona que recibió el mensaje en captura de pantalla a un investigador de seguridad, el fundador de vx-underground.
Para devolver el control del cinturón, pedía un "rescate" de 587 euros, que son el equivalente a 0,02 bitcoins a día de hoy. Según contó una víctima que se quiso identificar como Robert, el dispositivo estaba en efecto bloqueado, y no podía tener acceso a él.
Afortunadamente, de las dos víctimas con las que ha hablado Motherboard, ninguna tenía puesto el dispositivo al recibir el aviso de ransomware. La según, eso sí, identificada como RJ, dijo que ya no era dueña del cinturón de castidad, por lo que el ataque podría estar afectando a la persona que ahora lo use.
Alex Lomas, el investigador que ya avisó de la vulnerabilidad, ha confirmado a Motherboard que, efectivamente, algunos usuarios estaban recibiendo el ransomware. La empresa fabricante del producto no ha contestado de momento a Motherboard, y lo problemático es que si todo es como cuentan las presuntas víctimas e investigadores, el problema de seguridad con la API no se haya arreglado en meses y meses.
Ver 21 comentarios