CNET también está disponible en español.

Ir a español

Don't show this again

Hogar inteligente

Ese asistente de voz podría dejarte vulnerable a los 'hackers': reporte

Una nueva investigación sugiere que las plataformas de control de voz pueden ser vulnerables a los ataques de audio silencioso que pueden ocultarse dentro de la música o un video de YouTube.

Sarah Tew/CNET

En caso de que no lo hayas notado, los dispositivos activados por voz están en auge y abriéndose camino en un número cada vez mayor de hogares. Eso ha llevado a los investigadores de seguridad a preocuparse por las posibles vulnerabilidades que representan los dispositivos activado por voz.

Un reporte del New York Times afirma que esas vulnerabilidades incluyen comandos grabados a una frecuencia más allá de lo que los humanos pueden oír y que pueden estar ocultas dentro de un audio aparentemente inofensivo. En las manos equivocadas, dicen, esos comandos secretos podrían usarse para enviar mensajes, hacer compras, enviar dinero, realmente cualquier cosa que estos asistentes virtuales ya puedan hacer, todo sin que usted se dé cuenta.

Todo eso lleva las cosas un paso más allá de lo que vimos el año pasado, cuando los investigadores en China demostraron que las transmisiones ultrasónicas inaudibles podrían activar exitosamente asistentes de voz populares como Siri, Alexa, Cortana y Google Assistant. Ese método, denominado "DolphinAttack", requiere que el atacante esté a una distancia ligeramente cercana de su teléfono o altavoz inteligente. Nuevos estudios realizados sugieren que los ataques ultrasónicos como ese podrían amplificarse y ejecutarse a distancia, tal vez a una distancia de hasta 25 pies o menos de ocho metros.

El estudio más reciente citado por el Times proviene de los investigadores de UC Berkeley Nicholas Carlini y David Wagner. En él, Carlini y Wagner afirman que fueron capaces de engañar al motor de texto de voz abierto DeepSpeech de Mozilla ocultando un comando secreto e inaudible dentro del audio de una frase completamente diferente. La pareja también afirma que el ataque funcionó cuando escondieron el comando dentro de breves fragmentos de música.

"Mi suposición es que las personas malintencionadas ya pueden hacer lo que demostramos", dijo Carlini al Times, y agregó que "confiaba en que con el tiempo él y sus colegas podrían montar ataques adversos exitosos contra cualquier sistema de dispositivo inteligente en el mercado".

"Queremos demostrar que es posible", agregó Carlini, "y luego esperamos que otras personas digan: 'Bueno, esto es posible, ahora intentemos arreglarlo'".

Entonces, ¿qué hacen los creadores de estas plataformas de voz para proteger a las personas? Buena pregunta. Ninguna de las compañías con las que hemos hablado ha negado que ataques como estos sean posibles, y ninguno de ellos ha ofrecido soluciones específicas que parezcan capaces de evitar que funcionen. Ninguna dijo, por ejemplo, si su plataforma de voz era capaz de distinguir entre diferentes frecuencias de audio y luego bloquear comandos ultrasónicos por encima de 20 kHz. Algunos, como Apple, se negaron a comentar esta historia.

La mayoría de las empresas son reacias a hablar públicamente sobre este tipo de problemas de seguridad. A pesar de un fuerte enfoque en la inteligencia artificial y la voz en su conferencia anual de desarrolladores I/O esta semana, la presentación principal de Google casi no menciona la seguridad en absoluto.

"El Asistente de Google tiene varias características que mitigarán acciones agresivas como el uso de comandos de audio indetectables", le dice un portavoz de la compañía a CNET. "Por ejemplo, los usuarios pueden habilitar la coincidencia de voz, que está diseñada para evitar que el asistente responda a solicitudes relacionadas con acciones tales como compras, acceso a información personal y acciones similarmente sensibles a menos que el dispositivo reconozca la voz del usuario".

Mitigar una posible vulnerabilidad es un buen comienzo, pero Voice Match, que no es infalible, por cierto, solo protege contra un número limitado de escenarios, como señala Google. Por ejemplo, no evitaría que un atacante se meta en sus dispositivos inteligentes y le envíe un mensaje a alguien. ¿Y qué ocurre con los usuarios que no tienen activado el Voice Match?

Amazon, mientras tanto, ofrece protecciones similares para Alexa usando su propio software de reconocimiento de voz (que puede ser engañado), y la compañía también permite a los usuarios bloquear su dispositivo Alexa para no realizar compras de voz a menos que se proporcione un código PIN hablado.

Dicho todo esto, Amazon no indica que haya algo dentro del software de Alexa capaz de prevenir ataques como estos. Aunque la compañía dijo que no divulga todos sus esfuerzos de seguridad al público, por -- obvio -- razones se seguridad.

A medida que ataques como estos se acercan cada vez más a la plausibilidad del mundo real, los fabricantes probablemente tendrán que hacer más para mitigar los temores de los consumidores. En la época actual, "confíe en nosotros" podría no ser suficiente.

Reproduciendo: Mira esto: Este es el futuro de Google Assistant
1:58