Cualquier cosa que escuche cada una de las conversaciones y controle todo lo que haces, incluyendo los patrones de sueño, no es precisamente el dispositivo más seguro de tu casa. No es tanto un problema de seguridad como de privacidad. Se cede demasiada privacidad a estos dispositivos. Ese es el problema.
Otra desventaja de los altavoces inteligentes es que la mayoría de ellos no son portátiles. Los altavoces inteligentes no suelen venir con baterías, lo que significa que necesitan un suministro de electricidad activo todo el tiempo. Por lo tanto, si hay un corte de luz, ni siquiera puedes utilizarlo como altavoz Bluetooth porque necesita electricidad para funcionar.
Tu teléfono móvil cuenta sobre todo con un asistente de voz. En el mejor de los casos, Siri -de Apple, por ejemplo- puede parecer un ayudante «ingenuo» que puede comprobar el estado del tiempo, pedir una pizza o incluso leerte un cuento para dormir. En el peor de los casos, el chatbot puede hacer que tu dispositivo sea susceptible de sufrir robos de datos y ataques maliciosos.
Recientemente, investigadores de la Universidad de Zhejiang, en China, revelaron que los asistentes de voz son propensos a ser escuchados por hackers que utilizan comandos de voz inaudibles. Con el gigantesco salto que han dado los asistentes de voz en la esfera tecnológica, no podemos (ni debemos) anular la posibilidad de que el hackeo de datos tome una trayectoria pronunciada.
Más preocupante aún es la realidad de que los ataques de bots no perdonan a ningún dispositivo, desde los electrodomésticos inteligentes hasta los smartphones. Esto nos lleva a la gran pregunta: ¿La popularidad de los asistentes de voz ha llegado a costa de la seguridad? En este artículo, analizamos en profundidad cómo afectan los ciberataques a quienes utilizan asistentes de voz. Además, le explicamos cómo puede aprovechar las soluciones SAST de Kaiwan para proteger sus aplicaciones
y, lo que es más importante, su código.
Una gran mayoría de los que trabajamos en el ámbito de la defensa contra las ciberamenazas y la formación de los empleados para que estén informados y sean proactivos en cuanto a la disciplina de la seguridad estamos de acuerdo en una cosa: los dispositivos «inteligentes» del IoT y los dispositivos «asistentes» como Alexa y Google Home son grandes riesgos para la seguridad e incompatibles con las prácticas integrales de seguridad en línea.
En 2019, los investigadores demostraron que los hackers podían controlar estos dispositivos
desde 360 pies de distancia con un puntero láser. Ese es solo un ejemplo de las muchas formas en que la gente ha hackeado con éxito los altavoces inteligentes.
El año pasado, mi empresa perdió una parte significativa del negocio cuando un ejecutivo de nuestro cliente quiso que endureciéramos su «postura de seguridad» personal contra las amenazas cibernéticas. Una de las primeras cosas que hacemos en estos encargos es eliminar todos los dispositivos Alexa, monitores de bebés conectados en red y aparatos IoT de la casa, el coche y la oficina del cliente. El cónyuge y los hijos del ejecutivo se opusieron firmemente, y nos pidió que le proporcionáramos una postura de seguridad reforzada sin quitarles los Echos y los timbres de la puerta de sus hijos. Tuve que decirle que podía tener Alexa o podía tener una seguridad reforzada, pero no ambas cosas.
Eligió Alexa y tuvimos que rechazar el proyecto. Esto estropeó una relación comercial que por lo demás era buena, pero en nuestra opinión el mayor riesgo para nuestra empresa sería prometer la seguridad de un sistema que sabíamos que era intrínsecamente inseguro.
Esta es la respuesta para los que la quieren breve y dulce: Puedes usar altavoces «inteligentes» y dispositivos IoT, o puedes proteger tu privacidad y estar razonablemente seguro en línea o en tu casa. No puedes hacer ambas cosas. Yo nunca permitiría uno en mi casa.
Si no estás de humor para el TL;DR, hay un poco de información adicional que compartiré a continuación sobre este tema.
‘Altavoces inteligentes’ es una denominación errónea, porque la parte del altavoz de Alexa, Google Home o un dispositivo móvil configurado para responder a las indicaciones de voz no es la amenaza para la seguridad y la privacidad: son las matrices de una docena o más de micrófonos ultrasensibles dentro del dispositivo que (en contra de lo que afirman Google, Amazon y el resto) está escuchando todo lo que hay dentro y alrededor de tu casa o persona dentro de su rango sustancial 24/7/365. Siempre.
Amazon respondería que sus dispositivos sólo escuchan la palabra clave de activación «Alexa», e ignoran todo lo demás. Pero eso es una admisión que hunde su argumento: Si las matrices de micrófonos están siempre grabando, siempre tratando de detectar si una voz dice tranquilamente «Alexa…», entonces está constantemente grabando y probando cada sonido emitido en tu casa para determinar lo que no es la palabra clave hablada. Escuchar es escuchar.
Los dispositivos IoT (Internet de las Cosas) que suelen utilizar Alexa o Google Home (o Apple Home para aquellos lo suficientemente desafortunados como para poseer uno) no están diseñados como productos que dan prioridad a la seguridad. Están diseñados para dar prioridad a la comodidad, el polo opuesto a un sistema seguro.
Los consumidores quieren que el vigilabebés con cámara y micrófono que han comprado funcione sin problemas y sin esfuerzo una vez que lo enchufen o lo emparejen con su «altavoz inteligente». La única forma en que los fabricantes de dispositivos pueden hacer que esto suceda es utilizando credenciales universales por defecto (nombre de usuario: usuario, contraseña: contraseña); sin credenciales en absoluto; o confiando en el SSO (inicio de sesión único) utilizando su cuenta de Google, AppleID o el inicio de sesión de Amazon. El modelo SSO es el menos inseguro de los tres métodos, pero esto no cambia un hecho indiscutible: estás colocando micrófonos, cámaras y otros sensores conectados a Internet dentro de tu casa. Una vez, una colega se refirió a estos dispositivos como «propuestas de escuchas telefónicas con crack», y no se equivocaba.
Estos dispositivos no se limitan a escuchar y observar: reconocen voces específicas, reconocen el habla, detectan rostros específicos, pueden discernir si un objeto en movimiento es una persona o un gato, y están vinculados a través de Internet a enormes backends de IA/ML (AWS DeepLens
) que pueden inferir la actividad y el comportamiento con un nivel de precisión preocupante.
El Echo es un nombre adecuado para el dispositivo de altavoz «inteligente»: Simplemente al escucharte hablar mientras mide las grabaciones del sutil eco de tu voz dentro de una habitación, el Echo puede estimar dónde estás en relación con el dispositivo a través de la triangulación avanzada:
Hemos visto una y otra vez grandes explotaciones y burlas por parte de malos actores (así como de empleados de Google o Amazon cuyo trabajo es revisar fragmentos de audio
sus dispositivos registran en tu casa para «mejorar el reconocimiento») que hacen de estos dispositivos un riesgo inaceptable para nuestra privacidad y seguridad. Como todo dispositivo o sistema ideado por la humanidad, los altavoces «inteligentes» tienen fallos de hardware y software que a menudo no son descubiertos por sus fabricantes hasta que un hacker explota el fallo.
Un error de seguridad a principios de 2020 hizo que los dispositivos Google Home grabaran a los usuarios en todo momento
sin necesidad de avisar. Aunque se trató de un cambio involuntario que Google ha corregido desde entonces, arroja una luz preocupante sobre los altavoces inteligentes. Los bugs o errores en una actualización de software podrían convertir tu altavoz inteligente en un dispositivo de vigilancia.
La promesa de ignorar lo que escuchas que no es para tu consumo es una promesa sólo tan valiosa como la fiabilidad de quien la hace. Google, Apple, Amazon y el resto no son necesariamente poco fiables. Son falibles, y los dispositivos que fabrican son asombrosos en su complejidad, tanto en hardware como en software. Cualquier sistema que se construya con millones de líneas de código desarrolladas por cientos o miles de personas será defectuoso.
Por eso nunca permitiré que haya uno en mi casa u oficina o cerca de ella. Usted tampoco debería hacerlo.
FUENTES:
Sí, los trabajadores humanos también escuchan las grabaciones de Google Assistant
(The Verge)
AWS DeepLens: ¿Qué es?
(GitHub)
StackPath
(Security InfoWatch)
Investigadores de seguridad exponen una nueva vulnerabilidad de Alexa y Google Home
(Ars Technica)
Hay un viejo chiste que dice que la S de IoT significa «seguridad».
Así que sí, los electrodomésticos inteligentes hacen que nuestros hogares sean menos seguros. Pero no por mucho. La mayoría de los dispositivos hoy en día sólo tienen entre 0 y 2 años de soporte. 2 si viene de un proveedor responsable, 0 en caso contrario. Tuve una tableta Android noame que nunca tuvo una actualización de seguridad liberada, hablar menos instalado. Los dispositivos inteligentes pre-IoT y pre-Smart Home han sido inseguros durante bastante tiempo ya. Tabletas, teléfonos, televisores, routers – la mayoría de ellos están sin parches en la naturaleza.
Así que sí, dirijo un segmento aislado dentro de la red doméstica, construido solo con dispositivos parcheados. Porque, bueno, muchos dispositivos son EOL y es difícil convencer a una esposa de que sustituya un televisor que funciona perfectamente y que sólo tiene dos años. Se compró un año después de su lanzamiento inicial, por lo que tenía un año escaso de vida útil.
