Una vulnerabilidad en Alexa habría posibilitado que los hackers accedieran a grabaciones de voz y datos personales de los usuarios

Una serie de fallos de seguridad están afectando al servicio de asistencia virtual de la nube de Amazon, comúnmente conocido como Alexa.

Según han descubierto varios investigadores de ciberseguridad, estas vulnerabilidades han hecho posible que los ciberdelincuentes cambiaran las facultades de Alexa, accedieran a su información almacenada, escucharan las grabaciones de voz y tuvieran vía libre a los datos personales de los usuarios. 

Con millones de unidades vendidas en todo el mundo, el asistente de voz es capaz de interactuar, establecer alertas, reproducir música y controlar diferentes dispositivos de la casa.

Identificadas por la empresa de software de seguridad Check Point, estas vulnerabilidades afectaron a subdominios específicos utilizados por Amazon y Alexa. Esto es, que las vulnerabilidades estaban presentes en los servidores de Amazon, no en los dispositivos de Amazon Echo u otros dispositivos habilitados por Alexa.

A ojos de la compañía, el fallo en los subdominios pudo haber sido explotado de "varias formas diferentes" por los ciberdelincuentes. Dado que los usuarios pueden ampliar las capacidades de Alexa instalando skills adicionales, la información personal almacenada en Alexa y el uso del dispositivo como centro de control del hogar convierte a estos asistentes en uno de los objetivos más atractivos para los cibercriminales.

Leer más: Las 14 startups españolas a seguir de cerca para entender el crecimiento exponencial del sector de la ciberseguridad

Una de ellas, la más común, habría sido crear una página maliciosa en los dominios de Amazon.com o Alexa.com, distribuir un enlace a esa página para que las víctimas hagan clic y, desde ahí, comenzar a operar con los datos personales. Según ha desvelado Check Point, esta página capturaba un token de autorización específico y, con él, el atacante lograba acceder a la cuenta de Alexa de la víctima.

A partir de ahí, según Check Point, el atacante podría haber eliminado una aplicación instalada de Alexa y reemplazarla por una aplicación maliciosa del mismo nombre. La aplicación maliciosa se ejecutaría la próxima vez que la víctima la llamara usando un dispositivo Alexa.

"El ataque sólo requería que el usuario hiciera un solo clic en un enlace malicioso creado y enviado por el hacker, y que la víctima interactuara con la voz", advierte la empresa de ciberseguridad quien, eso sí, subraya la rápida y eficiente respuesta de Amazon para solventar las vulnerabilidades.