Publicado: agosto 1, 2025, 3:24 am
Lovense, marca de juguetes sexuales inteligentes, ha enfrentado un grave fallo de seguridad porque expuso las direcciones de correo electrónico de sus usuarios durante meses, dejando las cuentas vulnerables a posibles robos de información, según informan los diarios The Verge y TechCrunch.
Dicha vulnerabilidad se encontraba presente en el sistema de inicio de sesión y restablecimiento de contraseña de la aplicación móvil de Lovense, debido a que, al ingresar una dirección de correo electrónico, la app devolvía mensajes distintos si el correo estaba vinculado a una cuenta activa, lo que permitió a cualquier usuario comprobar su validez. El investigador de seguridad BobDaHacker explica en una publicación de su blog que este tipo de error, conocido como ‘ataque de día cero’, puede ser explotado por los ciberdelincuentes para recopilar direcciones y, así, combinarlas con contraseñas filtradas para acceder a las cuentas de los usuarios.
Ante dicho fallo de seguridad, ambos diarios informan que, si bien Lovense ha corregido la vulnerabilidad tras recibir varios reportes, la marca no notificó de manera pública este incidente y tampoco advirtió a los usuarios afectados, por lo que ha generado bastantes críticas sobre su manejo el problema, teniendo en cuenta que dejó expuestas direcciones de correo durante meses, incluido después de descubrir la vulnerabilidad.
Por otro lado, es importante mencionar que este riego no reside únicamente en la filtración de correos electrónicos, sino en el tipo de información personal que podía estar vinculada a las cuentas de los afectados, como datos sensibles, historiales de uso y configuraciones de dispositivos. Por lo tanto, los expertos advierten que la seguridad debería ser una clara prioridad con este tipo de dispositivos, dado el impacto emocional, reputacional y psicológico que este tipo de filtraciones puede tener.
Además, el incidente vuelve a poner en el centro del debate la necesidad de mejorar los estándares de privacidad en dispositivos conectados, especialmente aquellos que forman parte de la vida íntima de los usuarios.
La respuesta de Lovense
En una declaración al medio Bleeping Computer , Lovense afirma haber enviado a las tiendas de aplicaciones una actualización de la aplicación que soluciona la vulnerabilidad mencionada: «Se espera que la actualización completa esté disponible para todos los usuarios la próxima semana. Una vez que todos los usuarios hayan actualizado a la nueva versión y desactivemos las versiones anteriores, este problema se resolverá por completo».
Qué es un ‘ataque de día cero’
Un ‘ataque de día cero’ es un ciberataque que explota una vulnerabilidad de seguridad que es desconocida para un proveedor de software o hardware, por lo que dificulta su solución. Además, los ciberdelincuentes pueden aprovechar este fallo para obtener acceso no autorizado a sistemas, robar información, instalar malware o causar interrupciones en los servicios.
Por otro lado, este ataque es especialmente peligroso porque los sistemas están expuestos a la vulnerabilidad hasta que se descubre y se crea una solución, teniendo en cuenta que es difícil de detectar porque la vulnerabilidad no es conocida por las herramientas de seguridad tradicionales, como, por ejemplo, los antivirus.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
