CNET también está disponible en español.

Ir a español

Don't show this again

Hogar inteligente

Alexa tenía un fallo que permitía a un dispositivo escuchar siempre

El problema se solucionó rápidamente una vez que los investigadores alertaron sobre el problema a Amazon.

Investigadores descubrieron una forma de mantener a la asistente de voz de Amazon escuchando constantemente.

Ian Knighton/CNET

Alexa es una muy buena oyente. Tan buena, de hecho, que un grupo de investigadores descubrieron una forma de grabar audio indefinidamente.

La asistente de voz inteligente de Amazon tenía un defecto de codificación que podría haber permitido que desarrolladores malintencionados convirtieran a la bocina Amazon Echo en un dispositivo para escuchar a otras personas.

Alexa, la asistente de voz utilizada por millones de dispositivos inteligentes, incluida la popular línea Echo de Amazon, utiliza Skills (o habilidades) para llevar a cabo los comandos. Por ejemplo, cuando le preguntas si va a llover, el sistema usa la habilidad de "Clima" para responder.

Investigadores de la firma de pruebas de seguridad Checkmarx encontraron un fallo con Alexa que permitió que Alexa Skill siguiera escuchando mucho después de que una persona activara una tarea, dijo Amit Ashbel, director de marketing de productos de Checkmarx.

"Por lo que pudimos ver, no había límite", dice Ashbel. "Mientras no le pidieras [a Alexa] que dejara de escuchar, no lo haría".

Amazon dijo que desde entonces ha solucionado esos problemas. "La confianza del cliente es importante para nosotros y nos tomamos en serio la seguridad y la privacidad", dijo la compañía en un comunicado. 

Checkmarx dijo que el problema se había resuelto desde el 10 de abril.

Sin embargo, el descubrimiento no es reconfortante para aquellas personas preocupadas de que las bocinas inteligentes Echo de Amazon los escuchan. La gigante minorista en línea ha luchado contra las preocupaciones de privacidad al señalar que el asistente de voz no escucha a las personas hasta que se activa su palabra de activación.

Amazon nunca ha dicho cuánto tiempo seguirá escuchando después, lo que llevó a los investigadores de Checkmarx a realizar sus pruebas.

Cómo hacer que Alexa siga escuchando

Después de que Alexa lleva a cabo un comando, se supone que debe dejar de escuchar. Pero los investigadores de Checkmarx desarrollaron una habilidad (skill) que les permitió seguir escuchando indefinidamente, aprovechando una función de Alexa conocida como "reprompt".

Cuando Alexa no escucha tu orden correctamente, ella continúa escuchando y le pide al usuario que repita su solicitud. Los investigadores de Checkmarx descubrieron que un desarrollador podía escribir en el código para que Alexa hiciera eso, incluso si entendía perfectamente el comando. De esa forma, se mantendría siempre escuchando.

También descubrieron que se podía silenciar la solicitud, por lo que no escucharía a la Alexa pidiéndole que se repita. Esa combinación permite que Alexa continúe escuchando sin que el usuario se dé cuenta, dijo Ashbel.

La única señal de que Alexa todavía está escuchando es el anillo azul alrededor del dispositivo Echo, que Ashbel dijo que no era una solución efectiva. "Si le doy una orden a Alexa, no voy a mirar a Alexa para ver qué está pasando con el dispositivo en sí", dijo.

Señaló que Amazon permite que otros dispositivos utilicen Alexa, como espejos de baño y hasta inodoros, que podrían no tener ese anillo.

La prueba de 'hackeo'

La prueba de concepto de Checkmarx utilizó una habilidad de calculadora que funcionaba como cualquier calculadora. Pero después de que resolvió un problema matemático, la Echo Dot continuó escuchando durante más de un minuto hasta que el investigador le dijo a Alexa que se detuviera.

Durante ese minuto, capturó todo el audio grabado en una transcripción y lo envió a los desarrolladores en una ventana de visualización prolijamente empaquetada, escribiendo palabra por palabra lo que dijo el investigador.

Mientras que solo Amazon obtiene grabaciones de voz de personas que usan Alexa, los desarrolladores que crean las habilidades pueden obtener partes de las transcripciones.

"La grabación de voz en realidad no va al hacker, pero la transcripción se envía al hacker que desarrolló la habilidad", dijo Ashbel. "Eso los dejaría escuchar su conversación".

Checkmarx dijo que las soluciones de Amazon hacían imposible repetir la misma táctica de espionaje. Amazon eliminó la capacidad de silenciar reprompts, y también acortó la cantidad de tiempo que Alexa podía escuchar, dijo Ashbel.

Amazon se negó a explicar cuáles son sus soluciones, citando sus prácticas de seguridad.