Vulnerabilidades de Lovense: juguetes para adultos inseguros

Esta es una historia sobre cómo las vulnerabilidades en las aplicaciones del fabricante de juguetes íntimos Lovense expusieron las identidades de los usuarios y permitieron la apropiación de cuentas, un problema que la empresa ignoró durante años.

Vulnerabilidades de Lovense: juguetes para adultos inseguros

Nuestro blog ha hablado sobre vulnerabilidades en algunos dispositivos inusuales, desde fundas de colchón inteligentes y aspiradoras robot hasta botones audibles en señales de tráfico, juguetes para niños, comederos para mascotas e incluso bicicletas. Pero el caso que estamos discutiendo hoy podría ser el más… exótico hasta ahora. Recientemente, los investigadores en materia de ciberseguridad descubrieron dos vulnerabilidades extremadamente graves en las aplicaciones de control remoto para… los juguetes sexuales de Lovense.

Cada parte de esta historia es una locura: la naturaleza de los dispositivos vulnerables, la intención de la empresa de tomarse 14 meses (!) para solucionar los problemas y los detalles escandalosos que surgieron después de que los investigadores publicaran sus hallazgos. Así que vamos a meternos de lleno en esta historia, que es tan absurda como fantástica.

El ecosistema en línea de Lovense

Lo primero que hace que esta historia sea tan inusual es que Lovense, un fabricante de juguetes íntimos, atiende tanto a parejas a larga distancia como a modelos de cámaras (modelos humanos que usan cámaras web) que trabajan en plataformas de streaming.

Para controlar los dispositivos y permitir la interacción de los usuarios, la empresa ha desarrollado un conjunto completo de productos de software adaptados a una variedad de situaciones:

  • Lovense Remote: la principal aplicación móvil para controlar los dispositivos íntimos.
  • Lovense Connect: una aplicación complementaria que actúa como un puente entre los dispositivos Lovense y otras aplicaciones o servicios en línea. Se instala en un teléfono inteligente u ordenador y permite que un juguete se conecte a través de Bluetooth y luego transmite comandos de control desde fuentes externas.
  • Lovense Cam Extension: una extensión de navegador para Chrome y Edge que vincula los dispositivos Lovense con plataformas de streaming. Se usa con la aplicación Lovense Connect y el software de streaming OBS Toolset para tener un control interactivo durante las transmisiones en vivo.
  • Lovense Stream Master: una aplicación todo en uno para streamers y modelos de cámara que combina funciones de control de dispositivos con la funcionalidad de transmisión en vivo.
  • Cam101: la plataforma educativa en línea de Lovense para modelos que trabajan en sitios de streaming.

Por supuesto, todo esto también incluye API, SDK, una plataforma interna para miniaplicaciones y más. En resumen, Lovense no se trata solo de juguetes íntimos conectados a Internet, es un ecosistema completo.

Lovense Stream Master: un servicio para modelos de cámara web

Interfaz de usuario de la aplicación Stream Master, que combina la administración de dispositivos y la transmisión de vídeo. Fuente.

Si creas una cuenta en la infraestructura de Lovense, se te solicita proporcionar una dirección de correo electrónico. Mientras que algunos servicios ofrecen la opción de iniciar sesión con Google o Apple, una dirección de correo electrónico es el método principal para registrar una cuenta de Lovense. Este detalle puede parecer insignificante, pero está en el núcleo de las vulnerabilidades que se descubrieron.

Dos vulnerabilidades en los productos en línea de Lovense

Entonces, ¿cómo se desarrolló todo esto? A fines de julio de 2025, un investigador conocido como BobDaHacker publicó en su blog una publicación detallada sobre dos vulnerabilidades en los productos en línea de Lovense. Muchos de los productos (incluido Lovense Remote) tienen funciones de interacción social. Estas funciones permiten a los usuarios chatear, añadir amigos, enviar solicitudes y suscribirse a otros usuarios, incluidas personas que no conocen.

Al usar las funciones de interacción social de una de las aplicaciones de Lovense, BobDaHacker detectó la primera vulnerabilidad: cuando deshabilitó las notificaciones de otro usuario, la aplicación envió una solicitud de API al servidor de Lovense. Después de examinar el cuerpo de esta solicitud, BobDaHacker se sorprendió al descubrir que, en lugar de la identificación del usuario, la solicitud contenía su dirección de correo electrónico real.

Vulnerabilidad de la API de Lovense que expone los correos electrónicos de los usuarios

Cuando se realiza una acción sencilla (como deshabilitar las notificaciones), la aplicación envía una solicitud al servidor que incluye la dirección de correo electrónico real de otro usuario. Fuente.

Después de una investigación más exhaustiva, el investigador descubrió que la arquitectura de la API de Lovense se diseñó para que, con cualquier acción que afectara a otro usuario (como desactivar sus notificaciones), la aplicación envíe una solicitud al servidor. Y en esta solicitud, la cuenta del usuario siempre se identifica por la dirección de correo electrónico real con la que se registró.

En la práctica, esto significaba que cualquier usuario que interceptara su propio tráfico de red podría acceder a las direcciones de correo electrónico reales de otras personas en la aplicación. Es importante recordar que las aplicaciones de Lovense tienen funciones de interacción social y permiten comunicarse con los modelos de cámara. En muchos casos, los usuarios no se conocen fuera de la plataforma y exponer las direcciones de correo electrónico vinculadas a sus perfiles podría llevar a la desanonimización.

BobDaHacker conversó sobre sus hallazgos con otra investigadora de ciberseguridad llamada Eva, y juntos examinaron la aplicación Lovense Connect. Esto los llevó a descubrir una vulnerabilidad aún más grave: la generación de un token de autenticación en la aplicación solo requería la dirección de correo electrónico del usuario, no se necesitaba ninguna contraseña.

Esto significaba que cualquier persona con habilidades técnicas podría obtener acceso a cualquier cuenta de usuario de Lovense, siempre que supiera la dirección de correo electrónico del usuario. Y como acabamos de aprender, esa dirección podía obtenerse fácilmente si se aprovechaba la primera vulnerabilidad.

Segunda vulnerabilidad: apropiación de cuentas con solo una dirección de correo electrónico

Para generar un token de autenticación en la aplicación de Lovense, solo se necesitó el correo electrónico del usuario, sin la contraseña. Fuente.

Estos tokens se utilizaron para la autenticación en varios productos en el ecosistema de Lovense, que incluyen:

  • Lovense Cam Extension
  • Lovense Connect
  • Stream Master
  • Cam101

Además, los investigadores utilizaron con éxito este método para acceder no solo a los perfiles de usuarios básicos, sino también a las cuentas con privilegios de administrador.

La respuesta de Lovense a los informes de vulnerabilidades

A finales de marzo de 2025, BobDaHacker y Eva informaron sobre las vulnerabilidades que habían descubierto en los productos de Lovense en The Internet Of Dongs Project, un grupo dedicado a investigar y mejorar la seguridad de los dispositivos íntimos conectados a Internet. Al mes siguiente, en abril de 2025, también publicaron ambas vulnerabilidades en HackerOne, una plataforma más tradicional para interactuar con investigadores de seguridad y pagar recompensas por detección de amenazas.

Lovense, el fabricante de juguetes para adultos, reconoció el informe e incluso pagó a BobDaHacker y Eva un total de 4000 USD en recompensas. Sin embargo, en mayo y nuevamente en junio, los investigadores notaron que las vulnerabilidades aún no se habían solucionado. Continuaron hablando con Lovense y aquí es cuando comenzó a desarrollarse la parte más extraña de la historia.

Primero, Lovense les dijo a los investigadores que la vulnerabilidad de apropiación de cuentas se había solucionado en abril. Pero BobDaHacker y Eva comprobaron y confirmaron que esto era falso: aún era posible obtener un token de autenticación para la cuenta de otro usuario sin una contraseña.

La situación de la vulnerabilidad de divulgación de correos electrónicos era aún más absurda. La empresa declaró que llevaría 14 meses resolver por completo el problema. Lovense admitió que tenía una solución que podría implementarse en solo un mes, pero decidieron no hacerlo para evitar problemas de compatibilidad y seguir brindando soporte para versiones anteriores de la aplicación.

El intercambio entre los investigadores y el fabricante continuó durante varios meses más. La empresa afirmaba repetidamente que las vulnerabilidades estaban solucionadas, y los investigadores demostraban de manera igual de constante que aún podían acceder tanto a los correos electrónicos como a las cuentas.

Finalmente, a fines de julio, BobDaHacker hizo una publicación detallada en el blog que describía las vulnerabilidades y la inacción de Lovense, pero solo después de haber notificado a la empresa con anticipación. Algunos periodistas de TechCrunch y otros medios se pusieron en contacto con BobDaHacker y pudieron confirmar que a principios de agosto (cuatro meses después de que se notificara por primera vez a la empresa) el investigador aún podía determinar la dirección de correo electrónico de cualquier usuario.

Y eso estuvo lejos de ser el final. BobDaHacker y Eva conocieron los detalles más escandalosos solo después de que se publicó su investigación.

Una historia de negligencia: quién advirtió a Lovense y cuándo

El trabajo de BobDaHacker causó sensación en los medios de comunicación, blogs y redes sociales. Como resultado, solo dos días después de la publicación del informe, Lovense finalmente parcheó ambas vulnerabilidades, y esta vez, al parecer, fue cierto.

Sin embargo, pronto se descubrió que esta historia comenzó mucho antes del informe de BobDaHacker. Otros investigadores ya habían advertido a Lovense sobre las mismas vulnerabilidades durante años, pero se ignoraron o silenciaron sus mensajes. Estos investigadores compartieron sus historias con BobDaHacker y las publicaciones que abordaron su investigación.

Para comprender realmente el alcance de la indiferencia de Lovense sobre la seguridad y la privacidad de los usuarios, solo necesitas ver la línea de tiempo de estos informes:

  • 2023: un investigador conocido como @postypoo informó ambos errores a Lovense y como respuesta le ofrecieron… dos juguetes para adultos gratis. Pero las vulnerabilidades nunca se solucionaron.
  • También en 2023: los investigadores @Krissy y @SkeletalDemise descubrieron la vulnerabilidad relacionada con la apropiación de cuentas. Lovense afirmó que el problema se había solucionado y pagó una recompensa ese mismo mes. Sin embargo, el posterior mensaje de @Krissy que indicaba que la vulnerabilidad aún estaba presente no recibió respuesta.
  • 2022: un investigador llamado @radiantnmyheart descubrió el error que expuso los correos electrónicos y lo informó. Ignoraron su mensaje.
  • 2017: la empresa Pen Test Partners informó sobre la vulnerabilidad de exposición de correos electrónicos y la falta de cifrado del chat en la aplicación Lovense Body Chat y publicó su estudio al respecto. Ignoraron su informe.
  • 2016: The Internet Of Dongs Project identificó tres vulnerabilidades de correo electrónico similares. Todo esto significa que Lovense le pidió a BobDaHacker que le diera 14 meses para parchear vulnerabilidades que conocían hace al menos ocho años.

Es más, después de que se publicó el informe de BobDaHacker, tuvieron noticias no solo de los hackers éticos que habían informado anteriormente de estos errores, sino también del creador de un sitio web de OSINT y sus amigos, quienes no estaban contentos para nada. Al parecer, estas personas se habían estado aprovechando de las vulnerabilidades para beneficio propio. En particular, para recolectar correos electrónicos de los usuarios y desanonimizarlos. Sin embargo, esto no sorprende, dado que el informe de Pen Test Partners había estado disponible públicamente desde 2017.

Protección de tu privacidad

El enfoque de Lovense hacia la privacidad y la seguridad del usuario claramente deja mucho que desear, por decirlo suavemente. La decisión de continuar usando los dispositivos de la marca después de esto (especialmente conectándolos a los servicios en línea de la empresa) es una decisión que cada usuario debe tomar por sí mismo.

Por nuestro lado, ofrecemos algunos consejos sobre cómo puedes protegerte y mantener tu privacidad en caso de que interactúes con servicios en línea para adultos.

  • Crea siempre una dirección de correo electrónico separada cuando te registres en este tipo de servicios. No debe contener ninguna información que pueda usarse para identificarte.
  • No uses esta dirección de correo electrónico para ninguna otra actividad.
  • Al registrarte, no uses tu nombre, apellido, edad, fecha de nacimiento o ciudad de residencia reales, ni cualquier otro dato que pueda identificarte.
  • No cargues fotos reales de ti mismo que puedan usarse fácilmente para reconocerte.
  • Protege tu cuenta con una contraseña segura. Debe contener al menos 16 caracteres e idealmente incluir una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.
  • Esta contraseña debe ser única. Nunca la uses en otros servicios para no ponerlos en riesgo en caso de una filtración de datos.
  • Para evitar olvidar la contraseña y la dirección de correo electrónico que creaste específicamente para este servicio, usa un administrador de contraseñas fiable. KPM también puede ayudarte a generar una contraseña aleatoria, segura y única.

Y si quieres… penetrar más en el tema de los juguetes para adultos y servicios relevantes, te recomendamos que consultes recursos especializados como The Internet Of Dongs Project, donde puedes encontrar información sobre las marcas que te interesan.

Consulta nuestras otras publicaciones sobre cómo proteger tu vida privada de las miradas indiscretas:

Consejos
  • Para el resto de países