Los hackers están inventando técnicas ingeniosas para engañar a los micrófonos de los altavoces inteligentes y eso está abriendo un "nuevo mundo de amenazas"

Hackear un asistente de voz.
  • Los sistemas informáticos que se basan en comandos de voz plantean riesgos para la seguridad y la privacidad. 
  • Por ejemplo, los investigadores han demostrado que pueden activar asistentes de voz como Alexa, de Amazon, y Siri, de Apple, enfocando un rayo láser a los micrófonos que tienen los dispositivos inteligentes en los que funcionan.
  • Los micrófonos ubicados en el corazón de estos dispositivos por voz no sólo pueden ser pirateados para tomar el control de los mismos, sino que también representan una amenaza para la privacidad puesto que pueden escuchar lo que la gente dice y se pueden activar accidentalmente. 
  • Los hackers podrían usar esas conexiones para obtener acceso a las cuentas de los propietarios.
  • Los usuarios pueden adoptar una serie de medidas de prevención, pero tienen un control limitado sobre la seguridad de los sistemas basados en la voz.
  • Descubre más historias en Business Insider España.

Alexa, ¿sabías que puedes ser hackeada

Es verdad. Al igual que los ordenadores y los smartphones, los equipos basados en comandos de voz, como la famosa línea de altavoces inteligentes Echo de Amazon, son vulnerables a los ataques que les pueden obligar a hacer cosas que sus propietarios o diseñadores no querrían o no autorizaron.

Un equipo de investigadores ha demostrado que los asistentes de voz que se encuentran dentro de los altavoces y móviles pueden ser manipulados para que abran puertas de garaje o arranquen coches utilizando las vibraciones de un rayo láserapuntando a los micrófonos de los dispositivos para simular los comandos de voz de sus propietarios. Por otra parte, otro equipo de investigadores ha demostrado que se puede bloquear a Alexa para que no responda a su dueño tocando música de fondo con un tono especial.

Y algunos consumidores han denunciado que al utilizar un asistente de voz para marcar un número de atención al cliente, fueron conectados a un operador de estafas

Leer más: No deberías hablar de tu dinero delante de Alexa: la VP de McAfee nunca tendría uno en casa y recomienda alejarnos de los altavoces inteligentes

Es difícil saber cómo de preocupados deberían de estar los consumidores y las empresas por las vulnerabilidades potenciales de los dispositivos y sistemas de voz, según los expertos en seguridad. Pero los usuarios deben ser conscientes de que por muy divertidos y útiles que sean estos aparatos, no están exentos de riesgos. Y los riesgos sólo aumentarán a medida que los dispositivos se hagan más populares y se conecten más servicios y otros gadgets a ellos.

"Estamos abriendo un nuevo mundo de amenazas con estas actividades en el que algunas personas realmente inteligentes pueden empezar a descubrir cómo hacer cosas que provoquen que estos dispositivos se comporten de manera inesperada", dice Martin Reynolds, analista de la empresa de investigación de mercado Gartner, centrada en tecnologías emergentes.

Alexa está (casi) siempre escuchando

Las amenazas que plantean los sistemas informáticos basados en la voz se manifiestan de numerosas formas, en algunos casos similares a las de otros tipos de equipos y en otros únicas o inusuales.

Asistente de voz Echo de Amazon.

Lo más destacado de los Alexas y Siris del mundo, por supuesto, es que están construidos a partir de micrófonos: así interactúan los usuarios con ellos. Son los que permiten a los usuarios consultar el tiempo, encender las luces y abrir las puertas con sólo dar órdenes o realizar consultas.

Pero mientras que los micrófonos dan a los asistentes inteligentes sus capacidades básicas, también dan lugar a problemas de privacidad y seguridad. Para que los dispositivos de voz estén a merced de sus propietarios, estos micrófonos deben estar encendidos todo el tiempo, para escuchar sus "palabras de llamada". Las compañías que están detrás de los asistentes de voz suelen decir que no graban nada antes de que los dispositivos escuchen una palabra de activación o que los asistentes sean activados de otro modo.

Leer más: Google, Amazon, Facebook y otras tecnológicas llevan años escuchando y grabando tus conversaciones: estos son todos los escándalos destapados en los últimos meses

Sin embargo, a veces los asistentes pueden ser activados por error, ya sea porque presionaron un botón sin querer o porque confundieron otra frase con la palabra de llamada. Una vez que se activan, los dispositivos empiezan a grabar, pudiendo escuchar información sensible o muy privada.

El acceso a esas grabaciones no está realmente controlado. Por ejemplo, alguien podría intentar tener acceso a ellos si piratearan la cuenta de Amazon de un usuario.

Apple y otras compañías se han enfrentado a algunos escándalos al reconocer que habían enviado grabaciones hechas por sus asistentes de voz a sus empleados y subcontratas para que las revisaran, supuestamente para evaluar cómo de bien entendían y respondían a la solicitud. Algunos de las empresas con acceso a las grabaciones de Siri escucharon a personas teniendo relaciones sexuales, médicos discutiendo el historial clínico de los pacientes con ellos, e incluso traficando con drogas, según The Guardian.

También existe la posibilidad de que un hacker pueda interferir el micrófono de los dispositivos para escuchar disimuladamenteconversaciones privadas y así obtener información relevante, ya sea desde las casas de los usuarios o desde los despachos de una empresa.

"Las personas que conozco que trabajan en seguridad y privacidadno usan estos dispositivos", en parte debido a estas cuestiones de privacidad, dice Eugene Spafford, profesor de ciencias de la computación en la Universidad de Purdue (Indiana, Estados Unidos) y director ejecutivo emérito de su Centro de Educación e Investigación en Seguridad y Protección de la Información.

Los micrófonos de los dispositivos pueden dar a otros el control sobre ellos

Pero los micrófonos que se encuentran en el corazón de los sistemas informáticos por voz plantean algo más que riesgos para la privacidad. También pueden ser una amenaza para la seguridad al proporcionar una oportunidad para que otras personas, además de los propietarios de los dispositivos, tomen el control de los mismos.

Alexa de Amazon, por ejemplo, puede ser controlada por cualquiera que le hable. Hace dos años, Burger Kingdemostró que podía activar un dispositivo de Google Home emitiendo la frase "OK, Google" en un anuncio de televisión. De hecho, investigadores en Japón y de la Universidad de Michigan (EE. UU.) han demostrado que pueden interactuar con los asistentes de voz tanto en altavoces inteligentes como en móviles desde una cierta distancia utilizando un rayo láser que apunta a sus micrófonos.

Altavoz inteligente Apple HomePod por dentro.
Altavoz inteligente Apple HomePod por dentro.

Lo que hace que esta exposición sea más peligrosa es que la gente está conectando cada vez más dispositivos y servicios a sus asistentes de voz. Los consumidores pueden pedirle a Alexa que compruebe sus cuentas bancarias y decirle a Siri que haga un pago a alguien a través de Apple Pay. Pueden usar los sistemas para abrir puertas, apagar luces, arrancar coches y abrir garajes.

"Prevemos que este problema crecerá con el tiempo", dice Benjamin Cyr, un estudiante de doctorado de la Universidad de Michigan (EEUU) que formó parte del equipo que descubrió la vulnerabilidad de los asistentes de voz al láser. "A medida que son capaces de hacer más cosas un intruso puede hacer más daño", insiste.

Leer más: El micrófono de tu móvil no te espía, pero puede revelar más de un secreto sobre ti

Muchos de los dispositivos inteligentes para el hogar y el Internet de las cosas que los usuarios están conectando a los altavoces inteligentes tienen deficiencias de seguridad. Los investigadores han demostrado que pueden hackear coches a través de sus sistemas estéreo conectados a Internet. De hecho, hace poco, Mercedes-Benz tuvo un problema con la aplicación que controla sus coches y compartió información de sus clientes con terceros. Y hace tres años, los hackers fueron capaces de rastrear gran parte de Internet pirateando cámaras de seguridad mal protegidas y otros dispositivos online.

"La gente está invirtiendo mucho dinero en estos productos porque parecen ser muy prácticos y no entienden los riesgos que conllevan", asegura Spafford.

Un altavoz inteligente es como una caja negra

Otra de las preocupaciones de seguridad es que los asistentes de voz y los sistemas informáticos son casi como cajas negras. Los propietarios tienen poco control sobre su funcionamiento y, en particular, sobre las medidas de seguridad básicas que aplican. Un propietario de Echo no puede instalar un programa de antivirus. Si el dispositivo tiene un defecto de seguridad en su software, el propietario depende de Amazon para que lo corrija.

Encender un altavoz inteligente.

"La seguridad no está bajo tu control", explica Bruce Schneier, experto en ciberseguridad y profesor de la Kennedy School of Government de la Universidad de Harvard, Estados Unidos. "No hay mucho que puedas hacer," continúa, "excepto decidir no jugar".

Pero algunos expertos piensan que las preocupaciones de seguridad relacionadas con los altavoces inteligentes y los asistentes de voz son exageradas. Las amenazas que más preocupan a los expertos son las que pueden ser explotadas fácilmente a gran escala para obtener un beneficio económico significativo. Y son también las que suelen ser más atractivas para los delincuentes.

Piratear un altavoz inteligente con un rayo láser no es algo que pueda hacerse fácilmente, según Reynolds de Gartner. Incluso si los delincuentes fueran capaces de implantar códigos piratas en millones de altavoces inteligentes, no está claro qué podrían hacer con esa habilidad. Lo más difícil es que sea probable convertir esa posibilidad en una forma de estafar dinero, señala.

El peligro de tener más dispositivos inteligentes conectados a altavoces inteligentes y asistentes de voz también podría ser exagerado, insiste. Poder piratear un altavoz inteligente para abrir la puerta de alguien puede sonar aterrador, pero es más probable que un criminal vaya a hacerlo con una simple palanca, asegura.

Hasta la fecha, la mayoría de las debilidades que se han descubierto no parecen particularmente preocupantes, según Reynolds. 

"La mayoría de las veces, estas cosas son más travesuras que cualquier otra cosa", dice.

Los usuarios pueden tomar medidas para protegerse

Por otra parte, los principales proveedores de servicios de asistencia de voz afirman que tienen en cuenta la seguridad y la privacidad de sus productos. Cada uno de ellos permite a los usuarios eliminar las grabaciones de sus solicitudes de asistencia de voz, y Google y Amazon permiten a los usuarios revisarlas primero. Los dispositivos de Google Home y los altavoces inteligentes Echo de Amazon tienen botones físicos que permiten a los usuarios apagar sus micrófonos; y los propietarios de Apple HomePod pueden apagar su micrófono a través de la aplicación.

Amazon filtra todas las habilidades, o aplicaciones, que los desarrolladores crean para Alexa antes de ponerlas a disposición de los usuarios finales, y esas habilidades deben cumplir con sus requisitos de seguridad. Apple también revisa todas las aplicaciones del App Store, incluidas las que tienen funciones de Siri. Cada uno de los proveedores también ofrece una forma de actualizar automáticamente los altavoces inteligentes de los usuarios para que ejecuten el software más reciente.

Y los usuarios pueden tomar medidas para protegerse mejor. Pueden configurar la autentificación de 2 factores en las cuentas online que están vinculadas a sus altavoces inteligentes para proteger mejor sus datos personales de los hackers. Amazon permite a los usuarios configurar Alexa para que no pueda realizar ciertas funciones, como realizar un pedido online, a menos que se le dé primero un PIN preestablecido.

Pero los expertos en seguridad todavía están evaluando las amenazas que plantean los sistemas. Incluso Reynolds reconoce que es muy posible que los cibercriminales puedan encontrar vulnerabilidades de seguridad en los equipos basados en la voz y encontrar una forma de explotarlas para obtener beneficios económicos a gran escala. 

"En el mundo de la seguridad", dice Daniel Genkin, profesor asociado de la Universidad de Michigan (EEUU) que formó parte del equipo que descubrió la técnica del láser, "no hay nada que se pueda descartar".

Este artículo fue publicado originalmente en BI Prime.

Conoce cómo trabajamos en Business Insider.