Así se usa un rayo láser para piratear móviles y otros dispositivos por voz

Estás en casa por la noche, y de repente la ventana del salón se abre, las luces se apagan o el móvil empieza a soltar bombas publicitarias. No es la rebelión de las máquinas (aún), sino que sencillamente te están hackeando a distancia, desde el piso de enfrente a través de un rayo láser. Parece un concepto salido de la nueva peli de Misión Imposible, pero no es así, es la realidad: son las llamadas órdenes o comandos de luz.

Light Commands, el hackeo láser invisible

En mayo de este mismo año, investigadores de Tokyo y de la Universidad de Michigan descubrieron los ‘Light Commands’, o comandos / órdenes de luz, una vulnerabilidad presente en el micrófono de la gran mayoría de dispositivos inteligentes que aceptan órdenes de voz, como son los teléfonos móviles, las smart TVs o los populares altavoces inteligentes como Google Home, Amazon Echo o Apple HomePod. De esta forma, un atacante puede enviar órdenes como si fueran de voz  para que los dispositivos ejecuten esas órdenes. Sólo que los comandos de voz han sido silenciosos. Y proyectados por un rayo láser.

¿Cómo es posible esto? Según la investigación, cambiando la intensidad de un láser a una frecuencia específica y apuntándolo directamente al micro del dispositivo, este interpretaría el rayo como si se tratase de un sonido emitido por el usuario, obedeciéndolo al instante. Se trata de un tipo de hackeo silencioso, que ocurre de forma discreta y que puede ser ejecutado durante mucho tiempo hasta que el usuario lo averigüe, aunque puede que nunca lo haga.

Un equipo de 500 dólares

Aunque parece muy efectivo, este hackeo por órdenes de luz necesita un tipo de equipo y unas condiciones específicas para ser ejecutado con éxito. Para empezar, el atacante necesita un dispositivo láser, y un equipo especializado para modular la frecuencia del rayo. Necesita conocimientos para hacerlo, y lograr enfocar el láser directamente en el micro, lo que es complicado si está a un centenar de metros por ejemplo.

Aún así, los investigadores han listado una serie de componentes básicos que pueden comprarse por webs como Amazon, todo por menos de 500 dólares, unos 449 euros. Entre los dispositivos que se han probado según los tests de la investigación se encuentran dispositivos Google Home, Amazon Alexa, el Portal Mini de Facebook, y modelos de móviles Apple, Samsung y Google Pixel.

Teóricamente posible

Eso sí, antes de pensar en que estamos ya vendidos, hay que reseñar que algunos de estos dispositivos tienen elementos de protección internos que complicarían el hackeo. Por ejemplo Siri te pide que desbloquees el móvil, o escuchar una ‘voz de confianza’ antes de ejecutar una orden. Otros dispositivos como cerraduras inteligentes, sistemas de alarma o encendidos remotos de vehículos pedirán un código PIN hablado antes de activarse. Y aunque se podría modificar el láser para que comunicase ese código, el atacante tendría que saberlo antes.

De momento, el hack es teóricamente posible, aunque necesita de unas condiciones específicas. Pero puede hacerse, lo que se suma al listado de peligros potenciales que los dispositivos inteligentes manejados con la voz plantean en términos de seguridad.