Recientemente Alexa (el asistente virtual desarrollado por Amazon) se ha vuelto objeto de críticas, pues se descubrió una vulnerabilidad en su seguridad.
Según algunos expertos en el área, este asistente podría ser hackeado por personas malintencionadas en un ataque cibernético conocido como Alexa vs Alexa.
Así que, sin quererlo, nuestra querida Alexa podría funcionar como una herramienta para que personas sin escrúpulos espíen nuestras conversaciones, nuestras búsquedas en internet e incluso realicen acciones a nuestro nombre, como compras online.
Hoy te explicaremos cómo es que los hackers realizan el ataque Alexa vs Alexa, qué consecuencias podría tener para los usuarios de este asistente y qué ha dicho Amazon al respecto.
Tabla de Contenido
¿Cómo funciona el ataque Alexa vs Alexa (AvA)?
Alexa viene integrada en altavoces inteligentes como los Amazon Echo. En teoría, este asistente virtual solo se activaría si tú lo convocas a través de comandos de voz.
Pero, hay un truco bastante sencillo que utilizan los hackers para darle instrucciones a Alexa y que las cumpla…
Lo que ocurre es que cuando se reproduce desde el mismo altavoz inteligente algún audio que contenga un comando de voz, Alexa lo toma como legítimo y efectúa una respuesta.
El objetivo principal de los hackers es tu altavoz inteligente
Conociendo esta vulnerabilidad en la seguridad de Alexa, entonces el objetivo de los hackers es acceder a tu altavoz inteligente para reproducir de forma remota audios que contengan comandos de voz para controlar a Alexa.
¿Cómo pueden acceder a tu altavoz? Lo que se sabe hasta ahora es que el hackeo podría efectuarse por dos vías:
- A través de un link malicioso que te envían por algún medio. Cuando lo abres, pueden acceder al altavoz Amazon Echo.
- Conectándose con tu Amazon Echo utilizando conexión Bluetooth (para hacerlo, el hacker debe estar físicamente cerca del altavoz).
Los atacantes crean una Skill maliciosa para robar tus comandos de voz
Por defecto, Alexa tiene agregadas algunas Skills o habilidades. En su tienda de Skills puedes añadir más Skills que te parezcan útiles… Pero, además, tú puedes crear tu propia Skill.
Para este ataque, los hackers se aprovechan de esta funcionalidad para crear una Skill maliciosa para Alexa, denominada “Mask Attack”.
Una vez que tienen acceso a Alexa a través de comandos de voz emitidos por el mismo altavoz Amazon Echo, le agregan esta nueva Skill.
Básicamente lo que hacen con ella es grabar los comandos de voz cuando hablas con Alexa, para robarlos y poder reproducirlos cuando no estés y controlar a Alexa como si fueran tú.
Lo peor del caso es que no te darás cuenta, pues, mientras los hackers no modifiquen nada, Alexa responderá normalmente a los comandos que envíes con tu voz.
Pero, sin saberlo, cada comando que dices está siendo interceptado y robado de forma pasiva.
Cuando ya han robado suficientes comandos de voz comienza la acción
Una vez que conocen todos tus comandos de voz y saben de qué manera ordenarle cosas a Alexa, comienzan a hacerlo.
De forma remota reproducen a través de los altavoces todos los comandos de voz que han robado, para controlar a Alexa a su gusto.
Y, al controlar a Alexa, controlan todos los dispositivos y las aplicaciones que estén sincronizadas con este asistente.
Pueden incluso modificar las respuestas a ciertos comandos de voz
En un video oculto en Youtube podemos ver cómo, para demostrar el hackeo, se intercepta el comando “cuánto es 10+11” y se modifica la respuesta para que Alexa conteste “10+11=77”.
Así como se modificó la respuesta a ese comando, se podría cambiar otras respuestas a preguntas que le realices a Alexa.
Por mencionar solo un ejemplo, cuando preguntes si hay tráfico, podría contestarte que no, cuando realmente sí lo hay, y hacerte perder horas en medio de un atasco.
¿Qué tipo de acciones podría efectuar un hacker con el ataque Alexa vs Alexa?
Al realizar este ataque, los hackers tienen control sobre absolutamente todo lo que ahora mismo controlas con Alexa.
Esto puede incluir la música que escuchas, la temperatura de la calefacción, las compras del supermercado o incluso si la puerta de tu casa está abierta o cerrada.
Aquí te dejamos algunos ejemplos de acciones que podrían realizar los hackers gracias al ataque Alexa vs Alexa…
- Realizar cualquier acción sobre los dispositivos inteligentes vinculados a Alexa:
Si en tu hogar Alexa te ayuda a controlar algunos electrodomésticos inteligentes, estos pillos podrían comenzar a hacerlos funcionar de forma errónea.
Por mencionar un ejemplo, podrían llevar la calefacción al máximo en un día caluroso o encender el aire acondicionado al máximo en un día frío, solo para enloquecerte un poco.
- Modificar alarmas, fechas del calendario, entre otros:
Si tienes configuradas alarmas o recordatorios en tu calendario para no olvidar las fechas importantes, reuniones del trabajo o algún otro evento, podrían modificarlo todo y desorganizarte por completo, haciendo que pierdas reuniones importantes y más.
- Espiar tus conversaciones:
Pueden dejar el micrófono del altavoz abierto para escuchar lo que dices durante un tiempo indeterminado.
- Realizar compras en Amazon:
El atacante podría incluso comprar artículos en Amazon como si los hubieses encargado tú.
Respuesta de Amazon: ¿Está solucionado el problema de vulnerabilidad de AvA?
Teniendo en cuenta lo complejo de esta vulnerabilidad en los productos Amazon, es lógico preguntarse qué ha dicho su fabricante al respecto.
Antes que nada, hay que dar mérito a los investigadores que descubrieron el ataque AvA; ellos son Sergio Esposito, Daniele Sgandurra y Giampaolo Bella.
Según el portal adslzone, Amazon ha declarado que esta vulnerabilidad ha sido corregida. La empresa afirma que ya no es posible la activación automática remota de Alexa.
Además, informaron que han creado un sistema que supervisa en tiempo real todas las Skills que son creadas, para detectar cualquiera que pudiera resultar perjudicial.
Por último, cerraron su comunicado diciendo que seguirán trabajando para mejorar la seguridad de todos los usuarios de Amazon Echo y de Alexa.
¿Qué opinas? ¿Confías en Amazon para protegerte de este tipo de vulnerabilidades en su asistente virtual? Déjanos tu respuesta en los comentarios…