Categories: Seguridad

Aparecen una serie de vulnerabilidades críticas en el asistente de voz Alexa

Check Point descubrió vulnerabilidades críticas que afectan al asistente de voz de Amazon.

Estas vulnerabilidades estaban presentes en subdominios de Amazon/Alexa que permitían eliminar e instalar recursos en la cuenta de los usuarios y acceder a sus datos.

Para llevar a cabo un ataque exitoso, los ciberdelincuentes solo tenían que buscar la complicidad de los usuarios generando un enlace malicioso. Si el usuario hacía clic en dicho enlace, en apariencia procedente de Amazon, e interactuaba con su dispositivo mediante la voz, el atacante ya podía acceder a su información personal, desde nombre, número de teléfono y domicilio a historial de datos bancarios. También quedaba accesible el historial de voz y la lista de recursos.

Otras consecuencias serían la instalación silenciosa de recursos en la cuenta de la víctima o la eliminación de los ya instalados, también sin ser detectado.

“Los altavoces inteligentes y los asistentes virtuales son tan habituales que resulta muy sencillo pasar por alto la cantidad de datos personales que poseen, así como su papel en el control de otros dispositivos inteligentes en nuestros hogares. Los cibercriminales, por el contrario, los ven como instrumentos perfectos para acceder a la vida de las personas, dándoles la oportunidad de obtener sus datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta”, advierte Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point.

Vanunu explica que “realizamos esta investigación para destacar cómo la seguridad de estos dispositivos se ha convertido en crucial para mantener la privacidad de los usuarios. Afortunadamente, Amazon respondió rápidamente para solventar estas vulnerabilidades”.

“Esperamos que los fabricantes de dispositivos similares sigan su ejemplo y comprueben que sus productos no alberguen vulnerabilidades que puedan comprometer la privacidad de los consumidores”, alade el experto. “Alexa nos preocupa desde hace tiempo, dada su ubicuidad y conexión con los dispositivos de IoT. Son estas mega plataformas digitales las que más pueden perjudicarnos. Por lo tanto, sus niveles de seguridad son de crucial importancia”.

Check Point alerta sobre el peligro de descargar aplicaciones no conocidas y recomienda informarse primero sobre el software que se va a instalar, incluyendo los permisos solicitados. También aconseja ser prudentes a la hora de compartir información, especialmente en el caso de contraseñas o credenciales bancarias.

Sin víctimas

Por su parte, Amazon ha querido remarcar, en declaraciones a Silicon.es, el hecho de que “arreglamos este asunto poco después de que se nos informara y continuamos reforzando nuestros sistemas”.

“La seguridad de nuestros dispositivos es prioridad máxima”, subraya su portavoz, “y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas”.

A pesar de la peligrosidad del problema detectado, el fallo se habría arreglado a tiempo y no habría causado víctimas. “No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta”, confirman desde la compañía responsable de Alexa.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

La ciberseguridad del IoT crecerá un 120% en el próximo lustro

El internet de las cosas (IoT) trae muchas ventajas, pero también comporta nuevos riesgos. El…

2 días ago

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

3 días ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

3 días ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

3 días ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

3 días ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

3 días ago