El peligro de usar Alexa: Descubiertas vulnerabilidades en el asistente IA
?Tienes alg¨²n dispositivo que use el asistente de Amazon Alexa? F¨ªjate c¨®mo pod¨ªan haberte hackeado.
Un asistente virtual inteligente (IVA) o asistente personal inteligente (IPA) es un tipo de software que puede realizar tareas o servicios para un individuo basado en comandos o preguntas. Amazon Alexa, com¨²nmente conocido como "Alexa" es un asistente virtual basado en la IA desarrollado por Amazon, capaz de interactuar con la voz, reproducir m¨²sica, configurar alarmas y otras tareas, incluyendo el control de dispositivos inteligentes como parte de un sistema dom¨®tico del hogar.
Una de las ventajas de Alexa es que puede ¡®evolucionar¡¯ por as¨ª decirlo, aprender trucos nuevos de la misma forma que un m¨®vil aumenta sus capacidades con cada nueva app que se le instala. En este caso, Alexa dispone de las ¡®skills¡¯ o habilidades: funcionalidades adicionales desarrolladas por Third Parties que pueden considerarse como aplicaciones - tales como programas meteorol¨®gicos y caracter¨ªsticas de audio.
El ¨¦xito de los asistentes virtuales
Hace una d¨¦cada, tener un asistente virtual potenciado por aprendizaje IA era algo que segu¨ªa pareciendo futurista. Hoy d¨ªa es com¨²n tenerlo en tu tel¨¦fono m¨®vil incluso. Y los aparatos tipo Amazon Echo, los altavoces inteligentes, se han vuelto muy populares, porque permiten un sistema dom¨®tico en casa a bajo coste. Para hacerse una idea, a finales de 2019 m¨¢s de 200 millones de dispositivos alimentados por Alexa se hab¨ªan vendido, una cifra que en 2020 ha crecido, incluso a pesar de la pandemia que vivimos.
La comodidad es m¨¢xima, porque se manejan con la voz. Pero existe un problema: Como los asistentes virtuales sirven hoy en d¨ªa como puntos de entrada a los electrodom¨¦sticos y controladores de dispositivos de la gente, asegurar estos puntos se ha convertido en algo cr¨ªtico, siendo el mantenimiento de la privacidad del usuario la m¨¢xima prioridad. Esto ha sido el eje de una investigaci¨®n llevada a cabo por los expertos en ciberseguridad de Checkpoint. Y el resultado ha sido poco alentador:
Vulnerabilidades graves en Alexa
Seg¨²n podemos leer en el informe de Checkpoint, ¡°nuestros hallazgos muestran que ciertos subdominios de Amazon/Alexa eran vulnerables a la desconfiguraci¨®n de los recursos de origen cruzado (CORS) y a las secuencias de comandos de sitios cruzados. Usando el XSS fuimos capaces de obtener el s¨ªmbolo CSRF y realizar acciones en nombre de la v¨ªctima¡±.
En resumen, que estas vulnerabilidades permiten a quien sepa explotarlas instalar y eliminar habilidades -desde aplicaciones de noticias leg¨ªtimas hasta habilidades maliciosas desarrolladas por los hackers para robar tu informaci¨®n- en tu cuenta de Alexa y obtener tu informaci¨®n personal a trav¨¦s de esas skills. Un atacante puede:
- Instalar silenciosamente habilidades (aplicaciones) en la cuenta de Alexa de un usuario
- Obtener una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
- Quitar silenciosamente una habilidad instalada
- Conseguir el historial de voz de la v¨ªctima con su Alexa
- Obtener la informaci¨®n personal de la v¨ªctima
En efecto, estos exploits podr¨ªan haber permitido a un atacante eliminar/instalar habilidades en la cuenta de Alexa de la v¨ªctima objetivo, acceder a su historial de voz y adquirir informaci¨®n personal a trav¨¦s de la interacci¨®n de habilidades cuando el usuario invoca la habilidad instalada. Una explotaci¨®n exitosa habr¨ªa requerido s¨®lo un clic en un enlace de Amazon que ha sido especialmente dise?ado por el atacante.
Acceder a tu historia de voz de Alexa
Como se?ala Check Point, Amazon no almacena informaci¨®n financiera sensible como los inicios de sesi¨®n bancarios, pero todas sus acciones de voz son grabadas. Y tu historial de voz de Alexa es accesible a trav¨¦s de estas vulnerabilidades. Por defecto, el asistente virtual b¨¢sicamente graba y archiva todo lo que dices cuando se activa un dispositivo habilitado para Alexa. Eso significa que su informaci¨®n personal accesible puede extenderse a cualquier cosa que le haya dicho a Alexa, o cualquier cosa que haya dicho en absoluto cuando Alexa estaba activada, como:
- Direcciones de casa
- Nombres de usuario
- N¨²meros de tel¨¦fono
- Gustos personales
- B¨²squedas en Google, Google Maps, YouTube¡
Amazon no registr¨® ning¨²n ataque a usuarios
Lo primero es tranquilizar a todos los usuarios/as de Alexa, ya que Amazon arregl¨® y parche¨® las vulnerabilidades del asistente digital en cuanto recibi¨® el informe de Checkpoint. De hecho, la misma gigante de las ventas online se?ala que "La seguridad de nuestros dispositivos es prioridad m¨¢xima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco despu¨¦s de que se nos informara, y continuamos reforzando nuestros sistemas".
De hecho, seg¨²n nos ha comunicado la propia Amazon. "No tenemos conocimiento de ning¨²n caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la informaci¨®n de los clientes haya sido expuesta".
El problema con los asistentes virtuales
La conclusi¨®n de los ciberexpertos es sencilla: los asistentes virtuales son ¡°un objetivo atractivo para los atacantes que buscan robar informaci¨®n privada y sensible, o para perturbar el entorno dom¨¦stico inteligente de un individuo¡±.
Los dispositivos IoT (Internet de las Cosas) son ¡°intr¨ªnsecamente vulnerables y todav¨ªa carecen de una seguridad adecuada, lo que los convierte en objetivos atractivos para los actores de la amenaza¡±. Los ciberdelincuentes buscan continuamente nuevas formas de hackear los dispositivos o de utilizarlos para infectar otros sistemas cr¨ªticos.
La investigaci¨®n de Checkpoint alerta que tanto Alexa como los dispositivos sirven como puntos de entrada. Y deben mantenerse seguros en todo momento para evitar que los hackers se infiltren en nuestros hogares inteligentes.