Amazon Echo y las casitas de muñecas de Alexa: tips y lecciones de seguridad

Advertencia: si vas a leer este artículo en voz alta cerca de un dispositivo Amazon Echo, primero apaga el micrófono (por razones que quedarán claras en un momento).

Este artículo ofrece sugerencias para proteger el servicio Alexa (el asistente para comandos de voz) en los dispositivos Echo de Amazon; no habla sobre la seguridad de las casitas de muñecas, aunque también entran en escena, por así decirlo.

Antes que nada, dejemos en claro algunas nociones básicas sobre esta tecnología:

  1. La configuración predeterminada de Alexa le permite a cualquier persona dentro del alcance de escucha del dispositivo Echo encargar artículos y servicios desde su cuenta de Amazon;
  2. Las voces detectadas incluyen las de los niños, así como las provenientes de la radio o la televisión;
  3. Alexa te ofrecerá cosas para venderte aunque no estés buscando comprarlas. Por ejemplo, si tú o tu niño dicen “Alexa, ¿cuál es el dron más popular?”, te preguntará si lo quieres comprar;
  4. No puedes decirle a Alexa que cancele una compra. Para ello tienes que usar la app de Alexa o el sitio web de Amazon;
  5. Para proteger la función de compra por comando de voz es necesario agregar un código de confirmación;
  6. Puedes deshabilitar por completo la función de compra por comando de voz;
  7. Puedes apagar el micrófono de Echo, por ejemplo, si quieres hablar sobre Alexa sin que dicho servicio te interrumpa;
  8. Para hacer que Alexa deje de hablar, debes decir: “Alexa stop”;
  9. Puedes cambiar la palabra clave de activación “Alexa” por “Amazon” o “Echo”;
  10. Los dispositivos Amazon Echo existen desde hace tiempo, pero como se vendieron muchos en estas últimas fiestas, hay mucha más gente expuesta a esta tecnología por primera vez, aunque no sabe exactamente cómo funciona.

¿Qué tienen que ver las casitas de muñecas?

alexa-240El problema comenzó la semana pasada en San Diego, California, la ciudad donde vivo. Un canal de televisión local hizo una nota sobre una niña de seis años que encargó una casita de muñecas de 160 dólares en Amazon, a través del servicio Alexa, sin el conocimiento o permiso de sus padres. Al final de la nota, cuando el presentador del programa repitió lo que había dicho la niña (“Alexa, pídeme una casa de muñecas”), los residentes de San Diego comenzaron a llamar al canal de televisión para quejarse. ¿Por qué? Porque los sistemas Alexa en sus hogares y oficinas habían comenzado a procesar el pedido que escucharon de la televisión.

La configuración predeterminada seguramente permitirá cosas imprevistas, como que una transmisión televisiva encargue una casita de muñecas

¿Cómo pudo suceder algo así? Los dispositivos Amazon Echo se conectan a tu smartphone, a tu conexión de Internet y, si la tienes, a tu cuenta de Amazon Prime (con su capacidad de realizar pedidos en forma simplificada mediante un solo clic). Esto significa que tiene acceso a una gran cantidad de información y cuenta con mucho poder de procesamiento virtual, además de su capacidad extensiva de comunicación digital, por no mencionar los recursos financieros que maneja (tu método preferido de pago).

Los dispositivos Echo están diseñados para responder a la voz humana. Si dices “Alexa, ¿cómo está el tiempo?” a una distancia de 3 a 9 metros, te contestará. Puede hablar contigo a través de su propio altavoz o de otro parlante conectado, ya sea por cable o inalámbrico. Aclaremos lo que significa “responder a la voz humana”: en este preciso momento (sin tener en cuenta las modificaciones pendientes del producto), significa “responder a la voz de cualquier ser humano”, y no solo a la voz de la persona que instaló el dispositivo o cuya cuenta está vinculada. Es decir que podría ser la voz de un invitado, un niño o un compañero de cuarto.

Todos ellos tienen la posibilidad de comprar cosas a tu nombre si eres tú quien configuró el dispositivo y no cambiaste las opciones predeterminadas (sobre las que hablaremos en un momento). Por lo tanto, muchas personas comenzaron a darse cuenta de lo que el canal XETV descubrió en San Diego: la lista de usuarios potenciales de tu sistema Alexa abarca también la gente que habla por televisión (puedes leer la nota en inglés aquí: “News anchor sets off Alexa devices around San Diego ordering unwanted dollhouses“).

amazon-mute-240¿Cómo puede pasar algo así? De hecho, los ajustes predeterminados de un dispositivo Amazon Echo recién instalado facilitan mucho las cosas. Imagina este escenario: tú y tus amigos están hablando de los drones y deciden preguntarle a tu Echo recién instalado cuál es el más popular. Entonces le dices: “Alexa, ¿cuál es el dron más popular?” y Alexa responderá indicándote la marca, el modelo y el precio del dron más popular vendido en Amazon.

Hasta cierto punto, esto parece muy útil. La tecnología puede ser impresionante. Pero inmediatamente después de darte esos detalles, sin siquiera respirar, Alexa dirá: “¿Quieres encargarlo?”. Si llegas a decir “sí”, ya no habrá vuelta atrás. El artículo se encarga, su importe se debita de la primera opción de tarjeta que figura en la configuración simplificada de un solo clic de tu cuenta Amazon.com y se envía a la dirección allí designada. Y recuerda esto: no puedes decirle a Alexa que cambiaste de opinión. Si encargaste un artículo por error, deberás utilizar la app de Alexa o el sitio web de Amazon para cancelar el pedido.

Alexa, ¡detente!

Pensarás que debería bastar con decir “no” cuando Alexa te pregunta si deseas encargar el artículo. Pero lo que sucede es lo siguiente: cuando le dices “no” a su primera sugerencia, procederá a ofrecerte un dron diferente y te preguntará si quieres comprarlo en su lugar. Basándome en mi propia investigación, creo que así es como terminas con una casita de muñecas de 160 dólares. La primera sugerencia de Alexa para comprar una casa de muñecas cuesta alrededor de 80 dólares, pero la segunda cuesta el doble. Básicamente, tu hijo o compañero de cuarto no necesita saber la marca ni el modelo de lo que quiere; Alexa está más que feliz de proporcionar múltiples sugerencias.

Alexa responde a la voz de cualquier ser humano, no solo a la de quien instaló el dispositivo o vinculó su cuenta

Entonces, ¿cómo le dices que no?  ¿Cómo haces que se detenga? A continuación voy a explicar qué hay que hacer para cambiar la configuración predeterminada de Alexa, pero de todas formas querrás saber cómo detener a Alexa cuando no para de hablar y ofrecerte productos.

No recuerdo haberlo visto en la documentación elegante pero minimalista que vino con el dispositivo Echo Dot que compré. Así que le pregunté a uno de mis colegas de ESET, un hombre de familia que instaló un dispositivo Echo en su casa hace unos meses. Me respondió: “Hablo con Alexa como si fuera una niña. Le digo ‘Alexa, stop’ (Alexa, detente) y parece funcionar”.

alexa-app-setting

Probé hacer esto con el dispositivo de prueba que tengo en la oficina y funciona, pero sería bueno que el producto viniera con instrucciones más claras sobre cómo controlarlo en un nivel tan básico. Descubrí que también se le puede decir “Alexa, cancel” (Alexa, cancelar) para detener su actividad actual, pero recuerda que la frase no funciona para cancelar un pedido una vez que fue procesado.

También me molesta que la configuración predeterminada del sistema Alexa para Echo sea “Voice Purchasing On”, “Confirmation Code Off”, es decir, la compra por comando de voz activada y el código de confirmación desactivado. Es bastante fácil cambiar estos ajustes desde la app de Alexa que instalas en tu teléfono durante la instalación del dispositivo Echo, como se muestra en la captura de pantalla anterior. Cuando mencioné mi preocupación a amigos y colegas, la respuesta prácticamente universal fue: “Sin duda a Amazon le conviene facilitarles lo más posible la compra de artículos a sus clientes”.

Lo que no es nada fácil es hablar sobre Alexa dentro del alcance de escucha del dispositivo. Hay algunas opciones para evitar problemas. Una es apagar el micrófono de Alexa: como en la imagen de arriba, donde Alexa brilla en color naranja en lugar de azul. Otra opción es cambiar la palabra clave de activación: pasar de “Alexa” a “Echo” o “Amazon”. Sin embargo, ambas alternativas podrían surgir fácilmente en cualquier conversación. No me sorprendería que Amazon actualice el software de Alexa para que el usuario pueda elegir su propia palabra de activación.

Consejos de seguridad

Llegado este punto estarás pensando que, por más interesante que sea este tema, en términos de ciberseguridad no parece tan grave. Después de todo, que el correo te deje un paquete con una casita de muñecas que no esperabas puede ocasionarte un leve inconveniente, pero no es nada en comparación con un ataque de ransomware que cifra todas las fotos de tu familia y luego te pide un rescate para recuperarlas. En muchos aspectos estoy de acuerdo; no obstante, creo que hay varias lecciones de seguridad potenciales en esta historia de las casitas de muñecas encargadas por Alexa.

#1

Los productos nunca deberían enviarse al cliente con una configuración predeterminada “poco segura”. Los profesionales de seguridad ya han discutido este tema muchas veces en el pasado. Si la configuración predeterminada es “permitir todo” en lugar de “denegar todo”, seguramente permitirás muchas cosas imprevistas o no deseadas, como que una transmisión televisiva encargue una casita de muñecas.

#2

Las decisiones de compra de tecnología, incluso las de industria nacional, deberían estar siempre precedidas, o al menos acompañadas, de un análisis de riesgo-beneficio.

#3

Aunque los consumidores pueden hacer un análisis de riesgo, no pueden hacer un buen análisis de riesgo si no conocen todos los hechos. Para que quede claro, en este preciso momento no tengo conocimiento de que Amazon esté ocultando los hechos. Lo que estoy tratando de decir es que la empresa debería ser más explícita sobre la información que brinda con respecto al funcionamiento de la tecnología y sus limitaciones.

#4

La tolerancia al riesgo varía entre las personas. Por ejemplo, algunos dejaron de usar Internet tras las revelaciones de Snowden. Otros no se conectan online porque no creen que sea seguro. Y en la encuesta que hizo ESET en Norteamérica hace unos meses, 40% de los consumidores respondieron que “no confían para nada en que los dispositivos de la IoT sean seguros y capaces de proteger la información personal” (consulta el artículo Internet of Stranger Things).

#5

La seguridad de una determinada tecnología depende del entorno en el que se despliega, y las realidades desafortunadas pueden imponer limitaciones. Un micrófono abierto conectado a una inteligencia artificial con el poder de hacer que las cosas sucedan en el mundo real ofrece muchos beneficios, y todavía no tengo ninguna evidencia de que Alexa esté siendo utilizada indebidamente con fines maliciosos ni lucrativos. Pero no tengo dudas de que existen personas en algún lugar del mundo que están pensando en hacer precisamente eso.

#6

El potencial de consecuencias inesperadas y no deseadas de la tecnología tiende a aumentar a la par de su capacidad y complejidad. No creo que Amazon haya tenido en cuenta un escenario como el de las noticias de televisión. Algunos colegas creen que sí lo tuvo en cuenta pero de todos modos vendió el producto, tal vez pensando que no tenía gran importancia; o quizá Bezos, el director de Amazon, no cree en tales cosas como la mala publicidad.

Otro tema que surge con frecuencia en las discusiones sobre Alexa y otras tecnologías que usan el asistente por voz es la privacidad. Lamentablemente, me he quedado sin espacio ni tiempo para discutir aquí este aspecto. Pero por suerte me hice algo de tiempo durante las vacaciones para explorar varios dispositivos de la IoT que usan asistente por voz y en un próximo artículo comentaré cómo inciden en la privacidad.

Autor Stephen Cobb, ESET

Síguenos