El peligro de usar Alexa: Descubiertas vulnerabilidades en el asistente IA
¿Tienes algún dispositivo que use el asistente de Amazon Alexa? Fíjate cómo podían haberte hackeado.
Un asistente virtual inteligente (IVA) o asistente personal inteligente (IPA) es un tipo de software que puede realizar tareas o servicios para un individuo basado en comandos o preguntas. Amazon Alexa, comúnmente conocido como "Alexa" es un asistente virtual basado en la IA desarrollado por Amazon, capaz de interactuar con la voz, reproducir música, configurar alarmas y otras tareas, incluyendo el control de dispositivos inteligentes como parte de un sistema domótico del hogar.
Una de las ventajas de Alexa es que puede ‘evolucionar’ por así decirlo, aprender trucos nuevos de la misma forma que un móvil aumenta sus capacidades con cada nueva app que se le instala. En este caso, Alexa dispone de las ‘skills’ o habilidades: funcionalidades adicionales desarrolladas por Third Parties que pueden considerarse como aplicaciones - tales como programas meteorológicos y características de audio.
El éxito de los asistentes virtuales
Hace una década, tener un asistente virtual potenciado por aprendizaje IA era algo que seguía pareciendo futurista. Hoy día es común tenerlo en tu teléfono móvil incluso. Y los aparatos tipo Amazon Echo, los altavoces inteligentes, se han vuelto muy populares, porque permiten un sistema domótico en casa a bajo coste. Para hacerse una idea, a finales de 2019 más de 200 millones de dispositivos alimentados por Alexa se habían vendido, una cifra que en 2020 ha crecido, incluso a pesar de la pandemia que vivimos.
La comodidad es máxima, porque se manejan con la voz. Pero existe un problema: Como los asistentes virtuales sirven hoy en día como puntos de entrada a los electrodomésticos y controladores de dispositivos de la gente, asegurar estos puntos se ha convertido en algo crítico, siendo el mantenimiento de la privacidad del usuario la máxima prioridad. Esto ha sido el eje de una investigación llevada a cabo por los expertos en ciberseguridad de Checkpoint. Y el resultado ha sido poco alentador:
Vulnerabilidades graves en Alexa
Según podemos leer en el informe de Checkpoint, “nuestros hallazgos muestran que ciertos subdominios de Amazon/Alexa eran vulnerables a la desconfiguración de los recursos de origen cruzado (CORS) y a las secuencias de comandos de sitios cruzados. Usando el XSS fuimos capaces de obtener el símbolo CSRF y realizar acciones en nombre de la víctima”.
En resumen, que estas vulnerabilidades permiten a quien sepa explotarlas instalar y eliminar habilidades -desde aplicaciones de noticias legítimas hasta habilidades maliciosas desarrolladas por los hackers para robar tu información- en tu cuenta de Alexa y obtener tu información personal a través de esas skills. Un atacante puede:
- Instalar silenciosamente habilidades (aplicaciones) en la cuenta de Alexa de un usuario
- Obtener una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
- Quitar silenciosamente una habilidad instalada
- Conseguir el historial de voz de la víctima con su Alexa
- Obtener la información personal de la víctima
En efecto, estos exploits podrían haber permitido a un atacante eliminar/instalar habilidades en la cuenta de Alexa de la víctima objetivo, acceder a su historial de voz y adquirir información personal a través de la interacción de habilidades cuando el usuario invoca la habilidad instalada. Una explotación exitosa habría requerido sólo un clic en un enlace de Amazon que ha sido especialmente diseñado por el atacante.
Acceder a tu historia de voz de Alexa
Como señala Check Point, Amazon no almacena información financiera sensible como los inicios de sesión bancarios, pero todas sus acciones de voz son grabadas. Y tu historial de voz de Alexa es accesible a través de estas vulnerabilidades. Por defecto, el asistente virtual básicamente graba y archiva todo lo que dices cuando se activa un dispositivo habilitado para Alexa. Eso significa que su información personal accesible puede extenderse a cualquier cosa que le haya dicho a Alexa, o cualquier cosa que haya dicho en absoluto cuando Alexa estaba activada, como:
- Direcciones de casa
- Nombres de usuario
- Números de teléfono
- Gustos personales
- Búsquedas en Google, Google Maps, YouTube…
Amazon no registró ningún ataque a usuarios
Lo primero es tranquilizar a todos los usuarios/as de Alexa, ya que Amazon arregló y parcheó las vulnerabilidades del asistente digital en cuanto recibió el informe de Checkpoint. De hecho, la misma gigante de las ventas online señala que "La seguridad de nuestros dispositivos es prioridad máxima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco después de que se nos informara, y continuamos reforzando nuestros sistemas".
De hecho, según nos ha comunicado la propia Amazon. "No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta".
El problema con los asistentes virtuales
La conclusión de los ciberexpertos es sencilla: los asistentes virtuales son “un objetivo atractivo para los atacantes que buscan robar información privada y sensible, o para perturbar el entorno doméstico inteligente de un individuo”.
Los dispositivos IoT (Internet de las Cosas) son “intrínsecamente vulnerables y todavía carecen de una seguridad adecuada, lo que los convierte en objetivos atractivos para los actores de la amenaza”. Los ciberdelincuentes buscan continuamente nuevas formas de hackear los dispositivos o de utilizarlos para infectar otros sistemas críticos.
La investigación de Checkpoint alerta que tanto Alexa como los dispositivos sirven como puntos de entrada. Y deben mantenerse seguros en todo momento para evitar que los hackers se infiltren en nuestros hogares inteligentes.