Juguete sexual.
Una popular marca de juguetes sexuales pasó meses sin arreglar fallos que revelaban correos de las cuentas de usuarios
La compañía Lovesense se ha visto envuelta en polémica por determinadas actuaciones en torno a una serie de vulnerabilidades centradas en su app.
Más información: Escala la brecha de seguridad de Microsoft SharePoint: la agencia de armas nucleares de EEUU, afectada
Es un hecho que los problemas de ciberseguridad y los hackeos están a la orden del día en España. El caso de Ticketmaster, donde se expusieron datos de 500 millones de usuarios o el reciente problema de SharePoint de Microsoft lo ponen de manifiesto. Esto mismo ha pasado con la firma Lovesense.
El famoso fabricante de juguetes sexuales y accesorios de índole similar habría dejado expuestos correos electrónicos de usuarios durante meses enteros, revelan The Verge y TechCrunch. Un problema grave, que además no se solucionó una vez descubierto.
Es decir, que incluso aunque Lovesense era consciente de este problema, tardó meses en resolverla; incluso ahora, a fecha de escrito este artículo, el fallo no se ha acabado de solucionar del todo. Desde Lovesense afirman haber lanzado ya actualizaciones para solventar este asunto.
El problema de ciberseguridad de Lovesense
Todo comienza con BobDaHacker, experto y hacker centrado en la ciberseguridad que el pasado 28 de julio anunció un problema serio de ciberseguridad afectando a la compañía Lovesense. Esta compañía, decía el hacker, "miente a los investigadores de seguridad".
"Estaba usando la app Lovesense y silencié a alguien. Eso fue todo. Simplemente lo silencié. Pero luego vi la respuesta de la API y pensé... espera, ¿es esa una dirección de correo electrónico? ¿Por qué está ahí?", eculubraba BobDaHacker.
Juguete sexual.
Su investigación acabó revelando un sistema que permitía desvelar cualquier correo electrónico de la app. Básicamente, podía convertir cualquier nombre de usuario en su dirección de correo electrónico.
La situación era grave por doble, ya que la vulnerabilidad no solo podía convertir cualquier nombre de usuario en una dirección, sino que podía generar tokens de autorización con un único correo, sin necesidad de contraseña.
Lo peor es que cada procedimiento tardaba unos 30 segundos por nombre de usuario si se hace manualmente. "Con el script que creamos para automatizarlo, la conversión de un nombre de usuario a un correo electrónico tardó menos de un segundo", lamenta BobDaHacker.
Así, y usando otro script, el experto podría haber recopilado correos electrónicos de todo tipo usando una lista pública de nombres de usuarios. Recordemos que muchas modelos de webcam que comparten nombres de usuario para sus juegos eróticos se ven claramente perjudicadas.
Ilustración sexual de Lovesense. Omicrono
Por si fuera poco, el problema estaba lejos de quedarse ahí. Posteriormente, una compañera de BobDaHacker descubrió que se podían generar tokens de autenticación sin pedir contraseña alguna. Solo con un correo.
"¿Lo único que he necesitado? Un correo. Adivinad quién tiene correos de todo el mundo", exponía Eva en su canal de Discord. Usando el error anterior, se podían conseguir correos electrónicos y crear estos tokens.
La gestión de Lovesense
La situación es lo suficientemente problemática como para forzar a Lovesense a actuar y a tomar medidas. El pasado 26 de marzo, ambos expertos avisan a Lovesense de lo que estaba ocurriendo, con la propia Lovesense confirmando lo ocurrido.
![El logo de Apple en una tienda.](["https:\/\/s3.elespanol.com\/2024\/03\/21\/omicrono\/tecnologia\/841676461_240923027_320x180.jpg"])
Tras obtener la confirmación de Lovesense sobre la revisión del problema, BobDaHacker comenzó a encontrarse con problemas. En un primer momento ni siquiera calificaron el problema de crítico, pese a la gravedad del problema.
En mayo, el problema estaba lejos de estar arreglado. En junio, Lovesense afirmó haber solucionado todas las vulnerabilidades el pasado 7 de abril, algo que el hacker niega rotundamente. Recibió una llamativa respuesta por parte de Lovesense:
Lovesense. Omicrono
En un correo electrónico remitido por Lovesense, esta afirmaba que "resolver la causa raíz implica un trabajo de arquitectura más profundo. Hemos puesto en marcha un plan de remediación a largo plazo que durará aproximadamente 10 meses, con al menos 4 meses más para implementar una solución completa".
A fecha de 28 de julio, explican ambos hackers, seguía siendo posible filtrar los correos y tomando control de cuentas mediante los tokens ya mencionados, aunque con una solución parcial que no arregla la brecha de seguridad.
![Ramón durante su entrevista con Pau García Milà para la serie documental 'IA en Marcha'](["https:\/\/s3.elespanol.com\/2025\/07\/22\/omicrono\/1003743857966_257470376_320x180.jpg"])
"Todavía se pueden crear gtokens con un solo correo electrónico. Todos los endpoints que he probado los rechazan ahora, pero ¿por qué permitir que se creen? Es como dejar abierta una puerta con un cartel de 'no entrar'", lamenta el experto.
Según el propio BobDaHacker, investigadores de seguridad informaron ya previamente a Lovesense de este mismo error de robo de cuentas nada menos que en 2023. Sin embargo, la firma parece haberlo parcheado, pero sin realmente corregir el problema.
Lovesense ha explicado a BleepingComputer que se ha lanzado una actualización de la app que soluciona las fallas más recientes, con un parche que esté disponible para esta próxima semana para resolver estos problemas "por completo".
