Alexa, ¿me estás espiando?

Alexa, ¿me estás espiando?

En mayo, un dispositivo Amazon Echo Grabó arbitrariamente la conversación privada de una familia de Portland y se lo envió a una persona al azar en su lista de contactos, reavivando las preocupaciones sobre las fallas de seguridad de los altavoces inteligentes .

Y para ser justos, los altavoces inteligentes como Echo y Google Home han tenido una buena cantidad de incidentes de pesadilla para justificar las sospechas y la desconfianza en su confiabilidad. Pero si bien la instalación de un altavoz inteligente en su hogar conlleva compromisos de seguridad, a menudo los malinterpretamos, exagerando los menos críticos y descuidando los riesgos más graves.

Esto es lo que necesita saber sobre las implicaciones de seguridad y privacidad de los altavoces inteligentes, tanto los mitos como las realidades.

1) Los altavoces inteligentes siempre están escuchando

Una de las primeras cosas que escuchará acerca de los altavoces inteligentes como el eco es que 'siempre están escuchando' sus conversaciones, lo cual es técnicamente correcto. Pero a menudo confundimos 'siempre escuchando' con 'siempre grabando'.

“El Echo no registra todo lo que dice en su presencia”, dice Lane Thames, investigador de seguridad senior de Tripwire. 'La grabación no comienza hasta que la 'despiertas' diciendo su palabra de activación, como 'Alexa''.

Sin embargo, a menos que esté silenciado, el altavoz conserva la grabación de sonido durante unos segundos. 'Esta grabación de voz local limitada es sólo para el propósito de que el dispositivo detecte su palabra de activación', dice Thames.

Una vez que activa un altavoz inteligente, comienza a grabar y enviar su voz a sus servidores, donde tiene lugar el procesamiento real.

“La mayor parte del procesamiento (inteligencia artificial y procesamiento natural del lenguaje ) se realiza en la nube y las grabaciones de voz se realizan solo mientras el dispositivo está en modo de activación ”, dice Thames. Cada dispositivo tiene un indicador para mostrar claramente cuándo está grabando y enviando datos a la nube. Para Echo, es el anillo de luz en la parte superior del dispositivo. Para Google Home, son las luces giratorias de colores.

'Estas grabaciones se almacenan para que su dispositivo Echo, junto con Alexa junto con su cuenta de Alexa, puedan aprender y volverse 'más inteligentes' con el tiempo', dice Thames. 'Esto se hace a través de IA y algoritmos de aprendizaje continuo en función de sus actividades y controles de voz almacenados '.

Eso no significa que los dispositivos no cometan errores. La mayoría de los espeluznantes Amazon Alexa las historias que escuchas son el resultado de que el hablante inteligente se despierta con la palabra equivocada y malinterpreta fragmentos de conversaciones por comandos. Y en algunos casos, las fallas pueden hacer que los dispositivos comiencen a grabar cuando no se les ordena que lo hagan, como descubrió un bloguero de tecnología con el Google Home Mini el año pasado.

Pero esta no es la funcionalidad prevista de los dispositivos. Las empresas que desarrollan altavoces inteligentes están constantemente corrigiendo errores y parcheando fallas para evitar que sus dispositivos graben inadvertidamente las voces de sus usuarios. Desafortunadamente para ellos, cada vez que sus dispositivos hacen algo extraño, tiende a aparecer rápidamente en las noticias.

“La función de grabación es exagerada ya que solo escuchamos sobre los problemas aislados y caso por caso y los generalizamos a un problema sistémico”, dice Anubhav Arora, arquitecto jefe de Fidelis Cybersecurity.

Según Arora, la mayoría de los dispositivos tienen configuraciones y funciones que pueden ayudar a los usuarios a minimizar la posibilidad de que se despierten y se graben accidentalmente. Por ejemplo, Echo permite a los usuarios cambiar la palabra de activación para evitar confusiones en caso de que alguien en su casa se llame Alexa. Algunos dispositivos, como Google Home, permiten a los usuarios entrenar sus dispositivos para que se acostumbren a su voz y evitar que otras personas la activen accidentalmente (o intencionalmente).

“Usar una disciplina simple para reducir el riesgo de grabaciones no intencionales (cambiar palabras de activación, usar entrenamiento de voz, recordar apagar si realmente es necesario) hace que los hablantes sean una extensión segura de los servicios digitales, solo basados ​​en la voz”, señala Arora.

Echo Dot en la mesita de noche

2) Las empresas de tecnología guardan grabaciones de su voz

Otra preocupación en torno a los altavoces inteligentes es el hecho de que está permitiendo que sus fabricantes almacenen sus grabaciones de voz. Una vez más, se trata de una preocupación por la privacidad, pero no más grande de lo que ya está tratando en línea.

'Las interacciones de voz con altavoces inteligentes son una extensión de la actividad web que se realiza en un navegador', dice Arora. 'Por ejemplo, es posible realizar una consulta en un navegador en el sitio web de Google o mediante su altavoz inteligente'.

Arora también dice que en el caso de empresas como Google, existe la posibilidad de que ya les esté confiando sus correos electrónicos, fotos y documentos en línea, lo que puede representar un riesgo de privacidad y seguridad mucho mayor que almacenar sus comandos de voz porque “ los correos electrónicos pueden contener documentos, contratos y otras interacciones que las interacciones de voz no capturan '.

LEE MAS:

Sin embargo, esto no significa que deba descartar las implicaciones de privacidad de permitir que Google o Amazon almacenen sus grabaciones de voz. 'Ya sea que se esté almacenando un correo electrónico o una conversación que tuvo con un altavoz inteligente, ambos contienen información que está vinculada a usted como individuo', dice Gary Davis, evangelista jefe de seguridad del consumidor de McAfee.

Si bien la mayoría de los usuarios de correo electrónico comprenden que su proveedor está almacenando sus mensajes, es posible que muchos usuarios de altavoces inteligentes no comprendan completamente que los fragmentos de voz se almacenan cuando entregan comandos. Igualmente importante, todos los fabricantes de altavoces inteligentes le permiten acceder o eliminar sus grabaciones de voz de sus servidores. Davis recomienda que revise de forma rutinaria las solicitudes sobre las que actuó el altavoz inteligente para comprender las formas en que puede haber sido utilizado y que usted desconoce.

'La confianza es clave aquí, así como la tolerancia al riesgo', dice Thames, el investigador de seguridad de Tripwire. 'Los usuarios que quieran utilizar la tecnología en el mundo actual deben compensar el riesgo que uno enfrenta al utilizar una tecnología frente a los beneficios obtenidos'.

La mitigación de los riesgos dependerá en parte del uso de dispositivos de proveedores que sigan prácticas de seguridad sólidas y se hayan ganado la confianza de los usuarios.

“Es imposible implementar sistemas con perfecta seguridad. Los buenos proveedores responderán a los problemas de seguridad de manera rápida y transparente ”, dice Thames, y agrega que Google y Amazon han hecho un gran trabajo al hacer que sus sistemas sean seguros contra ataques cibernéticos.

Sin embargo, si esas mismas empresas utilizan sus datos de voz para otros fines o permiten que las agencias de espionaje accedan a ellos en sus programas de vigilancia es otra cuestión.

google home amazon echo

3) Los altavoces inteligentes plantean amenazas únicas

Los altavoces inteligentes tienen su propio conjunto de amenazas únicas que debe conocer. Como cualquier dispositivo conectado a Internet, si los piratas informáticos logran poner en peligro su altavoz inteligente, podrán explotarlo con fines nefastos. Las habilidades de terceros que los desarrolladores pueden crear para altavoces inteligentes son de especial preocupación.

'Aquí es de donde proviene la funcionalidad del asistente', dice Thames, 'y estos servicios de backend tanto de proveedores como de terceros son donde se encuentra la verdadera superficie de ataque para estos dispositivos'. Thames agrega que, si bien proveedores como Amazon y Google trabajan arduamente para garantizar que las aplicaciones y habilidades de terceros sean examinadas por seguridad, ningún sistema es perfecto y las aplicaciones malas pueden ingresar.

Otros expertos coinciden. 'Los malos actores están buscando activamente formas de explotar los altavoces inteligentes', dice Davis de McAfee, nombrando ' voz en cuclillas ”Ataques como ejemplo. En la okupación de voz, los piratas informáticos desarrollan habilidades de orador inteligente que son invocadas por comandos que suenan como los utilizados por aplicaciones legítimas. Cuando los usuarios emiten el comando, se lanza la habilidad maliciosa en lugar de la real. Después de eso, los atacantes pueden realizar otras actividades como espionaje o phishing.

LEE MAS:

En otro caso, los investigadores de Checkmarx desarrolló una habilidad maliciosa de Alexa que continuaría grabando la voz del usuario cuando no sospecharan. Esto es el equivalente a desarrollar aplicaciones maliciosas y malware para teléfonos inteligentes y computadoras.

Tanto Amazon como Google hacen todo lo posible para parchear las vulnerabilidades descubiertas y eliminar las habilidades maliciosas de sus tiendas de aplicaciones. “Resulta, en este tipo de mercado, que el dinero se gana creando buenas aplicaciones y habilidades, y es difícil y costoso conseguir que las habilidades basadas en malware o las basadas en malware se vuelvan populares”, dice Thames.

Otra amenaza con la que debes tener cuidado es la activación no deseada de habilidades. Es gracioso cuando un Comercial de Burger King obliga a su altavoz inteligente a describir su hamburguesa Whopper, pero no tanto cuando los piratas informáticos utilizan el mismo método para obligar a su altavoz a realizar tareas más críticas. Por ejemplo, los piratas informáticos pueden enviarle un correo electrónico de phishing y atraerlo para que haga clic en un enlace a un sitio web que reproduce un archivo de audio que ordena a Alexa o Google que realice una compra o desbloquee la puerta de su hogar. El ataque es difícil de realizar, pero puede suceder. Y con suficiente cuidado, los atacantes pueden modificar las frecuencias de audio para que no escuche el comando mientras lo hace el altavoz.

Para protegerse de este tipo de ataque, lo mejor que puede hacer es limitar el acceso de los usuarios a funciones críticas como realizar compras estableciendo códigos PIN en ellos o vinculándolos a una voz específica para evitar la activación arbitraria de habilidades.

No nos asustemos

Los altavoces inteligentes son una tecnología relativamente nueva y todavía estamos aprendiendo su impacto en diferentes niveles. Son una herramienta entre muchas y, como la mayoría de las tecnologías, tienen sus ventajas y desventajas. Es importante comprender los riesgos de seguridad; después de todo, está instalando un micrófono conectado a Internet en su hogar, pero no los exagere.