En este post os voy a dar un poco de miedo. Lo justo para que conozcáis los peligros de asistentes virtuales de voz como “Alexa” pero también os lo voy a quitar explicándoos cómo configurarlos para hacerlos más seguros durante su uso.

En 2017 en Dallas, Texas, una niña de tan sólo seis años aprovechó un descuido de sus padres para comprar una casa de muñecas y casi dos kilos de galletas a través del altavoz inteligente: Amazon Echo. Poco después, un presentador del canal CW6 comentaba la noticia: «Me encanta la niña diciendo ‘Alexa me pidió una casa de muñecas’» y, tras la noticia cientos de propietarios de un Amazon Echo, que estaban viendo la televisión en ese momento, repitieron el mismo pedido ?.

Ese mismo año, los personajes de la serie South Park realizaron un ataque masivo similar y consiguieron también que los dueños de estos altavoces inteligentes, a través de Alexa, añadieran a su carrito de Amazon varios artículos y establecieran una alarma a las 7 de la mañana.

Esto hoy en día sigue pasando, muchos asistentes virtuales podrían recibir su correspondiente orden de activación por la tele o la radio y realizar cualquier acción arbitrariamente. Y esto es sólo uno de los riesgos básicos a los que nos hoy en día nos enfrentamos…?

La popularidad de los asistentes virtuales de voz (en inglés, virtual voice assistants o por sus siglas VVA) sigue creciendo. Los más famosos y presentes en la actualidad son Google Now, Apple Siri, Amazon Alexa, Samsung S Voice y Microsoft Cortana.

Actualmente hay más de mil millones de dispositivos con reconocimiento de voz en todo el mundo. No sólo hablamos de dispositivos dedicados, sino también de teléfonos, televisores, vehículos, cascos inalámbricos, electrodomésticos… Todos ellos con el adjetivo «inteligente» que se integran o incluyen en un altavoz con reconocimiento automático de voz o ASR (Automatic Speech Recognition) y de comprensión del lenguaje natural o NLU (Natural Language Understanding), que son el puente hacia nuestro asistente virtual que cada vez puede hacer más y más cosas a la vez que el Internet de las Cosas (IoT) va penetrando hasta los cimientos de nuestra sociedad.

En Estados Unidos, uno de cada cinco hogares ya dispone de un altavoz inteligente. Un estudio de la firma Juniper Research afirma que en 2023 habrá más de 8.000 millones de asistentes de voz en el mundo y que en 2024 habrá más dispositivos con asistentes de voz que personas.

☄️ Evidentemente, tal proliferación no es ajena a los ciberdelincuentes que fijan como uno de sus grandes objetivos estos asistentes de voz a la vez que van adquiriendo más capacidades. Desde hacer compras directas hasta tareas domóticas como controlar la luz o la temperatura en una habitación y muchas otras funcionalidades como por ejemplo consultar estados bancarios.

Por otro lado, no están tampoco exentos de polémica en cuanto a privacidad ya que existen constantes reportes de recolección de información. Por ejemplo, recientemente se señalaba a la tecnología de Google Assistant por escuchar conversaciones de los usuarios incluso sin ser voluntariamente activada. Con todo esto, cómo para no tomarnos en serio su seguridad, ¿verdad?

¿Cuáles son los principales riesgos a los que nos enfrentamos?

? Podemos resumir los principales riesgos a los que los consumidores nos enfrentamos en dos grandes bloques: el acceso a información sensible y el uso o control no autorizados.

Riesgo 1: Acceso a información sensible

Hablando del primero y concerniente a la privacidad, si un altavoz está a la espera de que le «invoquemos» es porque está escuchando y registrando información constantemente. Incluso si somos muy restrictivos con la configuración no tenemos la certeza de cuánto a salvo puede estar nuestro historial. ¿Qué ocurriría si estoy en un despacho con un cliente y uno de esos altavoces escucha la conversación y la envía a la nube? Y no sólo se trata de nuestras conversaciones, los asistentes suelen manejar información personal como credenciales para acceder a múltiples servicios. ¿Podéis imaginar lo que significa este recaudo para cualquier cibercriminal?

Riesgo 2: Uso no autorizado

Por otro lado, que un mensaje desde el exterior pudiera abrir una puerta automatizada de un garaje o desactivar una alarma no es una quimera. Incluso se han desarrollado ataques mediante ultrasonidos que envían comandos al asistente de forma imperceptible para el oído humano, el conocido como Dolphin attack. ?

No sólo existe el riesgo de que un atacante pueda poner en jaque nuestras cuentas online, a menudo los asistentes trascienden al mundo físico manejando múltiples dispositivos de nuestro hogar. Hasta la integridad de las personas está en riesgo si un atacante puede llegar a controlar nuestros asistentes y el resto de dispositivos.

8 + 5 medidas generales para tener más seguridad con nuestro asistente virtual:

Las recomendaciones para usar adecuadamente estos dispositivos son a menudo de sentido común, sobre todo hacer un esfuerzo en revisar la política de privacidad y conocer todas las opciones de configuración que nos facilita el asistente de voz y los dispositivos que gobierna. En la medida de lo posible intentar:

Y por supuesto, tener en cuenta algunas pautas generales y del entorno:

1. Apagar el dispositivo cuando no lo estemos utilizando o, al menos, desactivar el micrófono
2. No difundir en redes sociales la marca del dispositivo ni su geolocalización
3. Utilizar contraseñas seguras para todas nuestras cuentas
4. Conectar el dispositivo solamente a redes wifi seguras y mejorar la seguridad de nuestra red desde la configuración del router
5. Revisar los dispositivos inteligentes interconectados porque podrían tener vulnerabilidades o medidas de seguridad insuficientes

También hay que comentar que el 7 de julio de 2021, el Comité Europeo de Protección de Datos (CEPD) adoptó unas Directrices 02/2021 sobre asistentes de voz virtuales cuyo objetivo es brindar orientaciones y pautas sobre la aplicación práctica del Reglamento General de Protección de datos (RGPD) en el contexto de los asistentes de voz de tal forma que los mismos aseguren de la mejor manera posible la protección de los datos personales de sus usuarios y su privacidad.

Configuraciones particulares de cada asistente

Por último, hablar de las opciones de cada asistente individualmente haría demasiado extenso este artículo pero al menos si quería poner algunos enlaces para que, los que no lo hayáis hecho todavía, podáis empezar a adentraros en las particularidades de aquellos que tengáis en casa. Así que, para concluir, os dejo unas referencias oficiales a los principales fabricantes que hay actualmente:

Google Now

Apple Siri

Amazon Alexa

Microsoft Cortana

? Espero que este artículo sirva para llamar la atención de todos aquellos que todavía no tenían esa conciencia de seguridad para sus dispositivos y asistentes de voz y a todos animaros a mejorarla.

Cualquier comentario, recomendación o feedback es bienvenido, “Alexa, mantennos seguros”.

Santander Global T&O es la compañía global del Grupo Santander con más de 2.000 empleados y basada en Madrid, trabajamos para convertir al Santander en una plataforma abierta de servicios financieros.

Mira las posiciones que tenemos abiertas aquí para unirte a este equipazo y Be Tech! with Santander ?

Síguenos en LinkedIn y en Instagram.

Vicente Motos

Santander Global T&O

Actualmente soy el responsable  del Purple Team Global en Santander enfocado a la realización de pruebas de intrusión y simulación de adversarios. Autodidacta y apasionado de la in-seguridad informática y el hacking desde hace muchos años, participo activamente en la comunidad y soy autor de numerosos posts técnicos.

 

👉 Mi perfil de LinkedIn

• Hacking
• Internet of Things