Poco a poco, los altavoces inteligentes se han ido introduciendo en miles de hogares y son uno de los dispositivos IoT (Internet de las cosas) más extendidos, pero ¿hasta qué punto son seguros?, ¿protegen los altavoces inteligentes la privacidad de sus usuarios o la exponen más de lo que deberían? En este artículo daremos respuesta a estas y otras preguntas.
¿Qué son los altavoces inteligentes?
Los altavoces inteligentes son dispositivos para la reproducción de audio, que se conectan a las fuentes de sonido a través de conexiones inalámbricas, como Bluetooth o WiFi, cuentan con diferentes funcionalidades adicionales, pueden conectarse a múltiples fuentes de audio o dispositivos e incluyen un micrófono que les permite recibir comandos de voz y, a través de un asistente virtual, funcionar como un centro de domótica para el hogar.
Los altavoces inteligentes más conocidos son los de Google Home, Amazon Echo y HomePod, pero existen muchas más marcas, como Mi Smart Speaker, los altavoces inteligentes de Xiaomi.
¿Para qué sirven?
El cometido original de los altavoces inteligentes era la reproducción de audio, pero al incluir en ellos la funcionalidad del asistente virtual, ahora pueden ejecutar una gran cantidad de tareas; abrir nuestro reproductor de música favorito, activar o desactivar la alarma del hogar, encender las luces de casa, comprar en la tienda virtual asociada a ese asistente (por ejemplo, con Alexa y los Amazon Echo podemos comprar directamente en Amazon), acceder a páginas web, realizar búsquedas en Internet, etc.
Como decíamos, el altavoz inteligente junto al asistente virtual convierte a estos dispositivos en pequeños centros de domótica, puesto que se pueden conectar a la red doméstica y controlar a través de ellos otros dispositivos inteligentes conectados a la misma red.
Los altavoces inteligentes presentan varios problemas con nuestra privacidad y seguridad
El objetivo de los altavoces inteligentes es facilitar algunas acciones a sus usuarios, que gracias a los comandos de voz pueden poner en funcionamiento o pagar aquellos dispositivos que estén conectados a la red doméstica. Pero es precisamente lo que hace posible esta función, lo que trae consigo problemas para nuestra privacidad y seguridad en Internet.
Siempre están a la escucha
Para que los asistentes puedan funcionar y responder a los comandos de voz de los usuarios, es necesario que siempre estén escuchando. Es cierto que la grabación de voz no comienza hasta que el asistente recibe el comando que lo activa, como «Alexa» u «Ok Google», pero siempre están escuchando, por lo que las grabaciones accidentales son posibles, especialmente porque hay palabras y expresiones que pueden sonar parecido a los comandos de activación.
Almacenan las grabaciones
Las grabaciones que hacen los altavoces digitales de los comandos de los usuarios se almacenan siempre de manera local en el propio dispositivo y, además, se envían a los servidores en la nube para ser procesadas.
Ahora, dependiendo de la configuración de privacidad de datos y seguridad que el usuario tenga, es probable que esas grabaciones se usen para otros fines; en concreto, para mejor el reconocimiento de voz de la IA o para la creación de perfiles de usuarios para ofrecer publicidad personalizada.
Este tratamiento de las grabaciones de voz supone uno de los problemas de privacidad más claros de los altavoces de voz y de los asistentes virtuales que los acompañan.
Los riesgos de la supervisión humana
En la línea del almacenamiento de las grabaciones de voz, está quién escucha esas grabaciones, puesto que, de acuerdo con los responsables de los asistentes virtuales, algunas muestras se seleccionan para ser supervisadas por humanos, con el objetivo, también, de mejorar el reconocimiento de voz y la IA del asistente.
Aunque la selección de estas muestras es supuestamente aleatoria, no deja de suponer un riesgo para la privacidad de los usuarios, puesto que las grabaciones se transcriben y estas podrían contener información personal de los mismos.
Altavoces inteligentes y sus problemas de ciberseguridad
Aparte de esos riesgos para la privacidad, los altavoces inteligentes de Google, Amazon, Apple y resto de fabricantes también suponen problemas para la ciberseguridad de hogares y empresas, puesto que, como otros dispositivos IoT, pueden convertirse en un punto vulnerable para la seguridad en redes WiFi domésticas o de las empresas y de todos los dispositivos conectados a ellas.
De manera que si un cibercriminal consigue hackear los altavoces inteligentes de una casa o una oficina, puede introducirse en la red doméstica o interna y vulnerar así su seguridad, accediendo a los datos e información privada y sensible que sea accesible desde ella, como por ejemplo, cuentas de usuarios, tarjetas bancarias, contraseñas, etc., o controlar los altavoces de forma remota.
Ya se sabe que los cibercriminales han comenzado a usar los motores de búsqueda de los dispositivos IoT para acceder al nombre de usuario y la contraseña por defecto de cualquiera de los dispositivos conectados a la red doméstica e interna, por lo que aquellos usuarios que no suelen cambiar las contraseñas de fábrica, están más expuestos a estos ataques.
Además de estos riesgos, unos altavoces inteligentes que no estén debidamente configurados podrían ser usados por cualquiera, desde los niños de la casa hasta los invitados, que, podrían, por ejemplo, realizar compras con el dinero del usuario utilizando el asistente virtual.
Consejos para mejorar la privacidad y seguridad de los altavoces inteligentes
Si sentís que Alexa nos vigila, o Siri o el asistente de Google, pero no queréis dejar de usar los altavoces inteligentes, hay varios consejos para reforzar y mejorar la privacidad en Alexa y compañía que podéis seguir.
Uso y configuración
Desde que los dispositivos son, en su mayoría, plug and play, casi nadie se para a mirar las opciones de configuración con las que cuentan, puesto que la mayoría de usuarios lo que quieren es poder empezar usar su dispositivo cuanto antes.
Con los altavoces inteligentes ocurre lo mismo, no son muchas las personas que antes de comenzar a usarlos se preocupan de revisar la política de privacidad y de configurar las opciones de privacidad.
Todos los asistentes virtuales y altavoces inteligentes cuentan con una aplicación para móvil o una interfaz web desde la que se puede configurar la privacidad y la seguridad. Por defecto, muchas veces la configuración es muy permisiva en cuanto a los datos e información que recoge el altavoz y se transmite al servidor y lo que se puede hacer con ello. Por eso es importante dedicar varios minutos a hacer ajustes en la configuración de privacidad, para que esta sea lo más o menos restrictiva que queramos.
Si no quieres que se creen perfiles de usuario, no permitas que se compartan tus grabaciones de voz.
Aunque para que funcionen de forma adecuada, es necesario que el micrófono del altavoz esté conectado, si no los vamos a usar o vamos a salir fuera, podemos desconectarlo, para evitar activaciones accidentales.
Así mismo, se recomienda borrar el historial de comandos del almacenamiento local y en la nube de grabaciones anteriores.
Activa siempre la autenticación multifactor, especialmente si hay tarjetas de crédito vinculadas con aplicaciones o tiendas online a las que se pueda acceder con el asistente virtual y efectuar compras.
Revisa las conexiones de otros dispositivos
Revisa siempre las conexiones de otros dispositivos a la red doméstica o interna de la empresa y asegúrate de que los reconoces todos, además de asegurarte de que cada uno de estos dispositivos cuenta con una contraseña fuerte y sus software están actualizados.
Cada dispositivo IoT conectado a la red supone un posible punto débil. Por ello, un consejo es crear una red WiFi separada para las conexiones de estos dispositivos.
Además, si hay dispositivos que ya no uses conectados a la red, desconéctalos de ella, es muy probable que su software esté desactualizado y sean un punto débil.
Refuerza la seguridad de tu red WiFi
Aparte de reforzar tu red WiFi con una clave de seguridad de red fuerte, instala un antivirus o una solución de seguridad más completa, para evitar posibles ciberataques, tanto contra tu equipo informático como contra tus dispositivos IoT.
Ya hemos mencionado que puedes crear una red separada para conectar los altavoces inteligentes y restos de dispositivos, pero puedes reforzar aún más esta seguridad, creado una red para invitados, es decir, una red separada de la red doméstica y de la de los dispositivos IoT, que pueden usar tus visitas, de manera que no puedan acceder a los dispositivos y, además, mantengan aisladas posibles amenazas.
Algunos problemas de seguridad y privacidad conocidos de altavoces inteligentes
Uno de los problemas conocidos de seguridad y privacidad de los altavoces inteligentes es el uso para el que se destinan las grabaciones de voz. Para muchos, lo malo de Alexa, Siri y compañía es que esos datos se usan para elaborar perfiles de usuarios, que se justifican bajo la «creación de una mejor experiencia». Y aunque esas grabaciones pueden eliminarse, los fabricantes han reconocido en alguna ocasión (es el caso de Amazon), que algunos datos se quedan guardados de manera indefinida.
En 2019, Amazon y Alexa protagonizaron uno de los casos más sonados al descubrirse que había trabajadores de la compañía escuchando y analizando las grabaciones de sus altavoces inteligentes Echo. Estas escuchas no estaban especificadas en las condiciones de los altavoces o del asistente, pero eran práctica habitual, analizándose más de 1.000 clips diarios para mejorar la IA del sistema.
Aunque Amazon dijo que los trabajadores no podían acceder a información de los usuarios, se descubrió que algunos de ellos sí podían hacerlo, en concreto a la ubicación de los mismos.
Google también tuvo que reconocer que enviaba muestras de voz a terceros para su transcripción y análisis, con el fin de mejorar la IA de su sistema (es la razón que dan todas las compañías). Según Google estas muestras están anonimizadas, pero si el audio contiene información personal, esos terceros podrían tener acceso a datos personales sin que los interesados hubiesen dado su consentimiento para ello.
Además, los altavoces inteligentes de Google y Amazon fueron usados para llevar a cabo un ataque de phishing, mediante el cual, un equipo de hackers usó supuestas aplicaciones de horóscopo para grabar las conversaciones de los usuarios y enviarlas a sus servidores, consiguiendo burlar la seguridad de los dispositivos. Este es un claro ejemplo de que no es imposible espiar con Alexa o Google Home.
Conclusión
La mayoría de estos altavoces inteligentes, a través de sus asistentes virtuales, recogen una gran cantidad de información personal, no solo nuestra voz, sino historiales de navegación, compras, dispositivo usado, localización, etc., por lo que si no ponemos ciertos límites, estamos compartiendo una gran cantidad de información personal con estas aplicaciones.
Además, todas analizan muestras de audio para mejorar sus sistemas de IA y como usuarios, tenemos poco control sobre quiénes tienen acceso realmente a nuestras grabaciones.
Por todo ello, aunque es posible reforzar la privacidad y seguridad de los altavoces inteligentes, es importante que si los vamos a usar, leamos antes los términos y condiciones de uso, así como la política de privacidad, para saber qué uso se va a hacer de nuestros datos e información. Además de configurar siempre los ajustes de privacidad.