Todo oídos: los peligros de los asistentes de voz

Hoy en día, el dicho “las paredes oyen” no es tan metafórico como era antes.
“La telepantalla recibía y transmitía información simultáneamente. Recogía cualquier sonido que Winston hiciera por debajo del nivel de un susurro muy bajo… No había forma de saber si estabas siendo vigilado en algún momento”. Esta es la descripción de George Orwell sobre los dispositivos espía del Gran Hermano en la novela 1984.

¿Y si el Gran Hermano no fuera el único con acceso a la telepantalla? ¿Y si cualquiera que supiera cómo, pudiera acceder y escuchar? ¿Y si la pantalla no se usara solo para propaganda política, sino también para mostrar publicidad personalizada? Digamos que le dices a tu cónyuge que te duele la cabeza y, al momento, ves un anuncio sobre analgésicos. Ya no se trata del argumento de una novela distópica; es más real de lo que creemos (algo futurístico, pero con probabilidades de ser real en un futuro cercano).


Ya nos hemos rodeado de telepantallas en ciernes y de sus nuevas características, como los asistentes de voz, que pueden convertirse en nuevas amenazas.


Los asistentes virtuales como Apple Siri viven en los smartphones, tablets o en dispositivos inertes como los altavoces inteligentes de Amazon Echo o de Google Home. Los usuarios los usan para encender y apagar la música, comprobar la predicción del clima, ajustar la temperatura de la habitación, pedir cosas por Internet, entre otras muchas funciones.
¿Tienen algo de malo estos micrófonos vigilantes? Claro. La primera posibilidad que se me ocurre es la filtración de información personal y corporativa. Pero hay otra que los ciberdelincuentes podrían usar para ganar dinero: ¿le dictas los números de tu tarjeta de crédito y las contraseñas para rellenar los formularios de las webs?


Los altavoces inteligentes pueden reconocer voces incluso en entornos ruidosos o con música. No tienes que hablar de forma muy clara para que te entienda: en mi experiencia, el asistente de voz de Google a veces comprende a un niño de tres años de edad mejor de lo que entiende a sus padres.


Estas son algunas historias que quizá les parezcan divertidas y alarmantes a la vez. Todas tienen que ver con diferentes asistentes de voz y con dispositivos inteligentes. Los escritores de ciencia ficción soñaron durante mucho tiempo con máquinas con las que podían hablar, pero ni ellos podrían haberse imaginado estas situaciones que han sucedido en la vida real.


La rebelión de los altavoces
En enero de 2017, en San Diego, California, el canal CW6 emitió un apartado de noticias interesante sobre las vulnerabilidades de los altavoces Amazon Echo (equipados con el asistente virtual Alexa).


El sistema no es capaz de distinguir las voces de las personas, explicó el presentador del programa, lo que significa que Alexa sigue las órdenes de cualquiera que esté cerca. Como resultado, unos niños empezaron a realizar compras online, sin saber la diferencia entre pedirles a sus padres que les dieran de comer y pedir a Alexa que les diera un juguete.


Luego, uno de los colaboradores dijo en la tele: “Me encanta esa niña que dijo ‘Alexa, cómprame una casa de muñecas'”. Las quejas no tardaron en llegar: Gente de todo San Francisco informó de que sus asistentes de voz realizaron compras espontáneas de casas de muñecas. Alexa interpretó la frase del televisor como una orden y la cumplió.


Amazon aseguró a las víctimas de la “rebelión de la IA” que podían cancelar sus pedidos sin pagar nada.


Dispositivos bajo juramento
Los dispositivos que pueden escuchar son vulnerables para las agencias de seguridad porque pueden (típicamente) repetir cualquier cosa que hayan oído. Esta es la historia de un detective que sucedió en 2015, en Arkansas.

Cuatro hombres celebraron una fiesta. Vieron fútbol, bebieron, se relajaron en el jacuzzi, nada fuera de lo normal. A la mañana siguiente, el propietario de la casa encontró en el jacuzzi el cuerpo sin vida de uno de los invitados. Rápidamente se convirtió en el sospechoso principal; el otro invitado dijo que se había ido antes de que sucediera nada.

Los detectives vieron muchos dispositivos inteligentes en la casa; sistemas de iluminación y de seguridad, una estación meteorológica (y un Amazon Echo). La policía decidió hacerle preguntas. Los detectives esperaban encontrar grabaciones de voz realizadas la noche del asesinato. Pidieron a Amazon que compartiera los datos, pero la empresa, al parecer, lo rechazó.

Los desarrolladores de Amazon aseguran que Echo no graba sonidos todo el tiempo, solo cuando el usuario pronuncia la palabra clave (que por defecto es “Alexa”). Luego el comando se almacena en los servidores de la empresa durante un tiempo limitado. Amazon asegura que almacena los comandos para mejorar el servicio de atención al cliente y que los usuarios pueden borrar todos los registros en los ajustes de sus cuentas.

De cualquier modo, los detectives encontraron otro dispositivo del que recopilar pistas. Recopilaron como pista el testimonio de un… medidor de agua inteligente. En las primeras horas de la mañana siguiente de la muerte de la víctima, aparentemente se utilizó una gran cantidad de agua. El propietario de la casa aseguró que a esa hora ya estaba durmiendo. Los investigadores sospecharon que el agua se usó para limpiar la sangre.

Cabe destacar que las indicaciones del medidor inteligente parecen ser inexactas. Además del gran uso de agua en mitad de la noche, registró que el día de la fiesta el consumo de agua no fue mayor a 40 litros por hora, pero un jacuzzi no se llena con esos índices. El propietario acusado dio una entrevista a StopSmartMeters.org (sí, una web creada por gente a la que no le gustan los medidores inteligentes); dijo que suponía que la hora del medidor estaba mal configurada.

El coche es un dispositivo de interceptación

Forbes también informa de algunos casos interesantes de dispositivos electrónicos utilizados en contra de sus propietarios.

En 2001, el FBI obtuvo permiso de un tribunal de Nevada para solicitar la ayuda de ATX Technologies e interceptar las comunicaciones privadas de un coche privado. ATX Technologies desarrolla y gestiona sistemas que permiten a los propietarios de coches solicitar asistencia en caso de suceder un accidente de tráfico.

La empresa siguió las órdenes. Por desgracia, no se publicaron los detalles técnicos, pero sí la petición del FBI de realizar dicha vigilancia “con un impacto mínimo” en la calidad de los servicios prestados al sospechoso. Parece muy posible que la vigilancia se haya realizado mediante la línea de emergencia y que se haya activado el micrófono de forma remota.

En 2007, hubo una historia similar en Louisiana. Un conductor o un pasajero pulsó por accidente un botón y llamó al servicio de emergencias de OnStar. El operador respondió la llamada. Al no recibir respuesta, notificó a la policía. Luego volvió a intentar contactar con las posibles víctimas y escuchó un diálogo que parecía ser parte de un acuerdo de drogas. El operador permitió que el agente de policía escuchara y localizó la posición del coche. Como resultado, el agente detuvo el coche y encontró marihuana en su interior.

En este caso, la defensa del conductor trató de invalidar la prueba del policía porque no había orden judicial, pero el tribunal rechazó este argumento porque no fue el policía quien inició la escucha. El sospechoso compró el coche a su antiguo propietario unos meses antes del incidente y, probablemente, no conocía la característica de emergencia. Finalmente, se le declaró culpable.

Cómo mantenerse fuera de las ondas
En enero, en el CES 2017 de Las Vegas, casi todo dispositivo inteligente presentado (desde los coches hasta las neveras) estaba equipado con un asistente virtual. Esta tendencia seguro que creará nuevos riesgos de privacidad, seguridad e, incluso, de seguridad física.

Todo desarrollador debe tener como prioridad la seguridad de los usuarios. Para los consumidores, tenemos una serie de consejos para ayudarles a proteger sus vidas de los dispositivos que todo lo oyen.

1. Apagar el micrófono de los altavoces de Google y de Amazon Echo. Tienen un botón. No es una forma conveniente de asegurar la privacidad (pues siempre tendrás que acordarte de hacerlo), pero algo es algo.
2. Utilizar los ajustes de la cuenta de Echo para prohibir las compras o para que se solicite una contraseña.
3. Utilizar una protección antivirus para PC, Tablet y smartphone; así, el riesgo de filtración de información disminuirá y mantendrá a raya a los delincuentes.
4. Cambiar la palabra que acciona a Amazon Echo si alguien de casa tiene un nombre parecido al de Alexa. Si no, cualquier diálogo que se realice cerca del dispositivo puede convertirse en una molestia real.

No es una calle de un solo sentido.
Bien, ya tapaste la cámara de tu laptop, escondiste tu smartphone debajo de una sábana y te deshiciste de tu Echo. Te sientes a salvo de los fisgones digitales… pero no es así. Los investigadores de la Universidad Ben-Gurion, en Israel, explican que unos auriculares comunes pueden convertirse en dispositivos de escucha.

1. Los auriculares y los altavoces pasivos son, básicamente, un micrófono al revés. Lo que significa que cada auricular conectado a un PC detecta sonido.
2. Algunos chips pueden cambiar la función de un puerto de audio a nivel del software. Esto no es secreto, se anuncia en las especificaciones de la placa base.
   

Como resultado, los ciberdelincuentes pueden convertir tus auriculares en un dispositivo de escucha para grabar en secreto cualquier sonido y enviarlo a sus servidores por Internet. Estudios en el campo lo han demostrado. De este modo, se puede grabar una conversación con una calidad aceptable estando a varios metros de distancia. Ten en cuenta que las personas suelen tener sus auriculares más cerca, sobre sus hombros o en una mesa cercana.

Para protegerte de este estilo de ataque, utiliza altavoces activos en lugar de auriculares y altavoces pasivos. Los altavoces activos tienen un amplificador incorporado entre el Jack y el altavoz que impide que una señal vuelva a entrar.