El peligro de usar Alexa: Descubiertas vulnerabilidades en el asistente IA

?Tienes alg��n dispositivo que use el asistente de Amazon Alexa? F��jate c��mo pod��an haberte hackeado.

Actualizado a 17 de agosto de 2020 13:04 CEST

Un asistente virtual inteligente (IVA) o asistente personal inteligente (IPA) es un tipo de software que puede realizar tareas o servicios para un individuo basado en comandos o preguntas. Amazon Alexa, com��nmente conocido como "Alexa" es un asistente virtual basado en la IA desarrollado por Amazon, capaz de interactuar con la voz, reproducir m��sica, configurar alarmas y otras tareas, incluyendo el control de dispositivos inteligentes como parte de un sistema dom��tico del hogar.

Una de las ventajas de Alexa es que puede ��evolucionar�� por as�� decirlo, aprender trucos nuevos de la misma forma que un m��vil aumenta sus capacidades con cada nueva app que se le instala. En este caso, Alexa dispone de las ��skills�� o habilidades: funcionalidades adicionales desarrolladas por Third Parties que pueden considerarse como aplicaciones - tales como programas meteorol��gicos y caracter��sticas de audio.

El ��xito de los asistentes virtuales

Hace una d��cada, tener un asistente virtual potenciado por aprendizaje IA era algo que segu��a pareciendo futurista. Hoy d��a es com��n tenerlo en tu tel��fono m��vil incluso. Y los aparatos tipo Amazon Echo, los altavoces inteligentes, se han vuelto muy populares, porque permiten un sistema dom��tico en casa a bajo coste. Para hacerse una idea, a finales de 2019 m��s de 200 millones de dispositivos alimentados por Alexa se hab��an vendido, una cifra que en 2020 ha crecido, incluso a pesar de la pandemia que vivimos.

La comodidad es m��xima, porque se manejan con la voz. Pero existe un problema: Como los asistentes virtuales sirven hoy en d��a como puntos de entrada a los electrodom��sticos y controladores de dispositivos de la gente, asegurar estos puntos se ha convertido en algo cr��tico, siendo el mantenimiento de la privacidad del usuario la m��xima prioridad. Esto ha sido el eje de una investigaci��n llevada a cabo por los expertos en ciberseguridad de Checkpoint. Y el resultado ha sido poco alentador:

Vulnerabilidades graves en Alexa

Seg��n podemos leer en el informe de Checkpoint, ��nuestros hallazgos muestran que ciertos subdominios de Amazon/Alexa eran vulnerables a la desconfiguraci��n de los recursos de origen cruzado (CORS) y a las secuencias de comandos de sitios cruzados. Usando el XSS fuimos capaces de obtener el s��mbolo CSRF y realizar acciones en nombre de la v��ctima��.

En resumen, que estas vulnerabilidades permiten a quien sepa explotarlas instalar y eliminar habilidades -desde aplicaciones de noticias leg��timas hasta habilidades maliciosas desarrolladas por los hackers para robar tu informaci��n- en tu cuenta de Alexa y obtener tu informaci��n personal a trav��s de esas skills. Un atacante puede:

Instalar silenciosamente habilidades (aplicaciones) en la cuenta de Alexa de un usuario
Obtener una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
Quitar silenciosamente una habilidad instalada
Conseguir el historial de voz de la v��ctima con su Alexa
Obtener la informaci��n personal de la v��ctima

En efecto, estos exploits podr��an haber permitido a un atacante eliminar/instalar habilidades en la cuenta de Alexa de la v��ctima objetivo, acceder a su historial de voz y adquirir informaci��n personal a trav��s de la interacci��n de habilidades cuando el usuario invoca la habilidad instalada. Una explotaci��n exitosa habr��a requerido s��lo un clic en un enlace de Amazon que ha sido especialmente dise?ado por el atacante.

Acceder a tu historia de voz de Alexa

Como se?ala Check Point, Amazon no almacena informaci��n financiera sensible como los inicios de sesi��n bancarios, pero todas sus acciones de voz son grabadas. Y tu historial de voz de Alexa es accesible a trav��s de estas vulnerabilidades. Por defecto, el asistente virtual b��sicamente graba y archiva todo lo que dices cuando se activa un dispositivo habilitado para Alexa. Eso significa que su informaci��n personal accesible puede extenderse a cualquier cosa que le haya dicho a Alexa, o cualquier cosa que haya dicho en absoluto cuando Alexa estaba activada, como:

- Direcciones de casa

- Nombres de usuario

- N��meros de tel��fono

- Gustos personales

- B��squedas en Google, Google Maps, YouTube��

Amazon no registr�� ning��n ataque a usuarios

Lo primero es tranquilizar a todos los usuarios/as de Alexa, ya que Amazon arregl�� y parche�� las vulnerabilidades del asistente digital en cuanto recibi�� el informe de Checkpoint. De hecho, la misma gigante de las ventas online se?ala que "La seguridad de nuestros dispositivos es prioridad m��xima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco despu��s de que se nos informara, y continuamos reforzando nuestros sistemas".

De hecho, seg��n nos ha comunicado la propia Amazon. "No tenemos conocimiento de ning��n caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la informaci��n de los clientes haya sido expuesta".

El problema con los asistentes virtuales

La conclusi��n de los ciberexpertos es sencilla: los asistentes virtuales son ��un objetivo atractivo para los atacantes que buscan robar informaci��n privada y sensible, o para perturbar el entorno dom��stico inteligente de un individuo��.

Los dispositivos IoT (Internet de las Cosas) son ��intr��nsecamente vulnerables y todav��a carecen de una seguridad adecuada, lo que los convierte en objetivos atractivos para los actores de la amenaza��. Los ciberdelincuentes buscan continuamente nuevas formas de hackear los dispositivos o de utilizarlos para infectar otros sistemas cr��ticos.

La investigaci��n de Checkpoint alerta que tanto Alexa como los dispositivos sirven como puntos de entrada. Y deben mantenerse seguros en todo momento para evitar que los hackers se infiltren en nuestros hogares inteligentes.