Investigadores de Check Point
Research, la división de inteligencia de amenazas de Check Point® Software
Technologies Ltd., proveedor especializado en
ciberseguridad a nivel mundial, han identificado hace poco unas
vulnerabilidades de seguridad críticas en ciertos subdominios de Amazon/Alexa
que habrían permitido a un cibercriminal eliminar/instalar recursos en la
cuenta de Alexa de una víctima, acceder a su historial de voz e, incluso, a sus
datos personales. El ataque tan solo necesitaba que el usuario haga un simple
clic en un enlace malicioso creado por el cibercriminal y que la víctima
interactúe con el dispositivo mediante la voz.
Con más de 200 millones de unidades vendidas en todo el
mundo, Alexa es capaz de interactuar con la voz, establecer alertas, reproducir
música y controlar dispositivos inteligentes en un sistema de domótica. Los
usuarios pueden ampliar las capacidades de Alexa instalando
"recursos" adicionales, que son aplicaciones dirigidas siempre por la
voz. Sin embargo, la información personal almacenada en las cuentas de Alexa de
los usuarios y el uso del dispositivo como centro de control de automatización
del hogar los convierte en un objetivo atractivo para los cibercriminales.
Los investigadores de Check Point demostraron cómo las
vulnerabilidades que encontraron en ciertos subdominios de Amazon/Alexa podían
ser explotadas por un cibercriminal que creaba y enviaba un enlace malicioso a
un usuario objetivo, que aparentemente provenía de Amazon. Si el usuario hacía clic en el enlace,
permitía al atacante:
· Acceder a la
información personal de la víctima, como el historial de datos bancarios, los
nombres de usuario, los números de teléfono y la dirección del domicilio.
· Extraer el
historial de voz de una víctima con su Alexa
· Instalar
silenciosamente recursos (aplicaciones) en la cuenta de la víctima
· Ver toda la
lista de recursos de la cuenta de un usuario
· Eliminar un
recurso instalado sin ser detectado
"Los altavoces inteligentes y los asistentes virtuales
son tan habituales que resulta muy sencillo pasar por alto la cantidad de datos
personales que poseen, así como su papel en el control de otros dispositivos
inteligentes en nuestros hogares. Los cibercriminales, por el contrario, los
ven como instrumentos perfectos para acceder a la vida de las personas,
dándoles la oportunidad de obtener sus datos, escuchar conversaciones o
realizar otras acciones maliciosas sin que el propietario se dé cuenta",
comenta Antonio Amador, Country Manager para Región Norte de América Latina de
Check Point. "Realizamos esta investigación para destacar cómo la
seguridad de estos dispositivos se ha convertido en crucial para mantener la
privacidad de los usuarios. Afortunadamente, Amazon respondió rápidamente para
solventar estas vulnerabilidades. Esperamos que los fabricantes de dispositivos
similares sigan su ejemplo y comprueben que sus productos no alberguen
vulnerabilidades que puedan comprometer la privacidad de los consumidores.
Alexa nos preocupa desde hace tiempo, dada su ubicuidad y conexión con los
dispositivos de IoT. Son estas mega plataformas digitales las que más pueden
perjudicarnos. Por lo tanto, sus niveles de seguridad son de crucial
importancia", añade Amador.
Asimismo, los expertos de la compañía aportan las claves
para de seguridad para los usuarios:
1. Evitar la
descarga de aplicaciones no conocidas.
2. Pensar 2 veces
antes de compartir: vigilar la información que se comparte con el dispositivo,
sobre todo si es sensible (por ejemplo, contraseñas, credenciales bancarias,
etc.)
3. Leer
información acerca de las apps que quieras descargar: es importante destacar
que hoy en día casi cualquier persona puede crear una aplicación para este tipo
de asistentes, por lo que es fundamental documentarse sobre este software antes
de instalarlo en el dispositivo, así como comprobar los permisos que pide.
Además, hay que recordar que estas apps pueden desempeñar ciertas acciones para
obtener información.
