Policía interroga a dispositivo Alexa en busca de pistas en crimen

El diario SunSentinel de Florida informó la semana pasada que la Policía de Hallandale Beach planea interrogar a un posible testigo de un crimen fatal: un dispositivo Alexa de Amazon.

Los dispositivos Echo y Echo Dot de Amazon, al igual que otros dispositivos inteligentes, escuchan constantemente una «palabra de activación» que indica cuándo su usuario quiere algo, por ejemplo: escuchar una canción, responder una pregunta o pedir un producto. Pero la policía tiene la sospecha de que el dispositivo «Alexa» después de la palabra de alerta de la víctima, podría haber escuchado y registrado más que un pedido de compras.

La policía acusó a Adam Reechard Crespo de asesinar a su novia, Silvia Galva. El reporte de la Policía señala que cuando llegó al departamento, encontraron a Galva en una de las habitaciones del condominio de Crespo. Una amiga de Galva estaba en el condominio en ese momento y le dijo a la policía que había escuchado discusiones viniendo de la habitación pero que no podía ver los detalles de la pelea.

Ahí es donde entra Alexa. El asistente de voz, que se ejecuta en los altavoces inteligentes Echo de Amazon, espera su palabra de activación (el valor predeterminado es «Alexa», aunque los propietarios pueden cambiarlo a «Amazon», «Computadora» o «Echo») y luego comienza a escuchar los comandos . En otras palabras, comienza a grabar.

Esta no es la primera ocasión que la policía analiza las grabaciones de un dispositivo Echo para ayudar a resolver crímenes. En 2015, la policía de Arkansas intentó obtener datos de un Echo que encontraron en la escena del crimen después de que un hombre fue estrangulado en una bañera de hidromasaje, aunque lo que Alexa registró, no fue evidencia concluyente de un asesinato.

Hackers pueden aprovecharse de Alexa y Google Home para espiar y robar contraseñas

El portal ArsTechnica ha publicado un reportaje sobre las preocupaciones alrededor de aplicaciones maliciosas desarrolladas por terceros con el fin de aprovechar dispositivos inteligentes para espiar a usuarios y robar contraseñas.

Por ahora, las amenazas a la privacidad planteadas por Amazon Alexa y Google Home son de conocimiento común. Los trabajadores de ambas compañías habitualmente han escuchado audios de usuarios.

Ahora, hay una nueva preocupación: aplicaciones maliciosas desarrolladas por terceros y alojadas por Amazon o Google. La amenaza no es solo teórica. Hackers de Whitehat en los laboratorios de investigación de seguridad de Alemania desarrollaron ocho aplicaciones (cuatro «habilidades» de Alexa y cuatro «acciones» de Google Home) que superaron los procesos de investigación de seguridad de ambas empresas. Las habilidades o acciones se presentan como aplicaciones simples para verificar horóscopos, con la excepción de uno, que se hizo pasar por un generador de números aleatorios. Detrás de escena, estos «espías inteligentes», como los llaman los investigadores, espiaban subrepticiamente a los usuarios y además roban sus contraseñas.

«Siempre estuvo claro que esos asistentes de voz tienen implicaciones de privacidad, ya que Google y Amazon reciben comandos de voz, y esto posiblemente genera en ocasiones accidentes», señala Fabian Bräunlein, consultor senior de seguridad de SRLabs. «Ahora mostramos que, no solo los fabricantes, sino también … los hackers pueden abusar de esos asistentes de voz para entrometerse en la privacidad de alguien».

Las aplicaciones maliciosas tenían diferentes nombres y formas de trabajar ligeramente diferentes, pero todas seguían flujos similares. Un usuario diría una frase como: «Hola Alexa, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro» o «OK Google, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro». Las aplicaciones de espionaje respondieron con la información solicitada, mientras que las aplicaciones de phishing dieron un mensaje de error falso. Luego, las aplicaciones dieron la impresión de que ya no se estaban ejecutando cuando, de hecho, esperaron en silencio la siguiente fase del ataque.

Después de reportar estas aplicaciones ambas empresas las eliminaron de sus tiendas de aplicaciones. Es alentador que Amazon y Google hayan eliminado las aplicaciones y estén fortaleciendo sus procesos de revisión para evitar que aplicaciones similares estén disponibles. Pero el éxito de SRLabs plantea serias preocupaciones. Google Play tiene una larga historia de hospedaje de aplicaciones maliciosas que generan malware sofisticado de vigilancia, en al menos un caso, dijeron los investigadores, para que el gobierno de Egipto pueda espiar a sus propios ciudadanos. Otras aplicaciones maliciosas de Google Play han robado criptomonedas de usuarios y ejecutado cargas secretas de código. Este tipo de aplicaciones se han escapado rutinariamente del proceso de investigación de Google durante años.

Hay poca o ninguna evidencia de que las aplicaciones de terceros estén amenazando activamente a los usuarios de Alexa y Google Home ahora, pero la investigación de SRLabs sugiere que la posibilidad de ninguna manera es descabelladaLos riesgos planteados por Alexa, Google Home y otras aplicaciones que siempre escuchan superan sus beneficios. La investigación de SRLabs Smart Spies solo aumenta la creencia de que la mayoría de las personas no deberían confiar en estos dispositivos.

El sistema de seguridad para el hogar de SimpliSafe puede verse comprometido

Si a usted le gustan los gadgets y además los utiliza para proteger su hogar debe leer esto. Según el portal de noticias The Verge, el último sistema de seguridad para el hogar de la marca SimpliSafe -una de las marcas más reconocidas en este mercado- aparentemente puede ser «engañado» por un emisor inalámbrico que imita la frecuencia de sus sensores de contacto de puertas y ventanas. Se ha publicado en Youtube un video que demuestra cómo se puede hacer, y, desafortunadamente, parece muy fácil, tan fácil como presionar un botón para asegurarse de que no se active una alarma cuando alguien entre en una casa.

SimpliSafe niega que el dispositivo sea vulnerable, y señala que su estación base no se deja engañar cuando los sensores están abrumados con interferencias inalámbricas de esta manera; la compañía dice que deberían enviar una alerta proactiva a su teléfono cuando detecte interferencias. De hecho, SimpliSafe afirma que el video muestra deliberadamente un escenario inusual e improbable. Sin embargo, el usuario que publicó el video indica que no tuvo que sintonizar el dispositivo de $ 2 USD de ninguna manera para evitar el sistema de alarma de manera confiable, lo hizo de inmediato, y aunque a veces provocó una notificación de interferencia, nunca activó una alarma.

Sin duda, los dispositivos electrónicos caseros de seguridad pueden ser una gran ayuda y un mecanismo de detección adicional pero deben ser muy bien analizados antes de instalarlos. Debe recordar que no podemos dejar todo en sus manos.

Automóviles conectados, ¿tu auto es seguro?

6:00 am. Suena la alarma, te preparas para ir a trabajar, enseguida desde tu smartphone le pides a Bronet (así se llama tu auto), que se autoevalúe: nivel de carga (pues es eléctrico), aceite, presión de llantas, sensores, etc. Instantes después Bronet te envía un informe en el cual te indica que necesitará recargarse al finalizar el día.

7:30 am. Le pides a Bronet que revise el estado del tráfico, determine cuál es la mejor ruta a tu oficina e inicias tu camino mientras Bronet toca tu canción favorita, Confortable Numb de Pink Floyd. Después de unos instantes, Bronet te recuerda que tienes programada una conferencia a las 8:00 am.

8:00 am. Bronet te conecta a la conferencia mientras continúas tu camino; de forma inesperada Bronet te dice que hay una manifestación camino a la oficina y te sugiere una nueva ruta. Una vez ajustada la ruta, continúas. Mientras tanto, Bronet armoniza la temperatura interior y, apenas pasados unos instantes, Bronet te informa que tu presión arterial está elevada e inicia un CheckUp de tus signos vitales. Momentos después Bronet te informa tu estado de salud, al mismo tiempo que informa a tu aseguradora e incluye tu posición geográfica. Bronet desacelerada, busca estacionarse y espera a los servicios médicos que llegan varios minutos después. Afortunadamente, te encuentras bien.

Parece un extracto de la serie de televisión norteamericana de la década  80´s Knight Rider o conocida en México como El auto increíble, en donde KITT, un prototipo de automóvil de alta tecnología, parece tener consciencia, es altamente inteligente y sabe hablar e interactuar como si fuera un humano. Pues bien, ya no es ficción, es una realidad.  Hemos traído a nuestros autos a nuestro entorno gracias a la inteligencia artificial (IA), los hemos hecho inteligentes y los hemos conectado a la red.

En el año 2013 se desarrolló el trabajo de investigación llamado “IoT IN AUTOMOTIVE INDUSTRY: CONNECTING CARS” de TECHNION, el Instituto Tecnológico de Israel desarrollado por Avital Cohen, Luis Arce-Plevnik y Tamara Shor. En él destaca un informe de Machina Research que establece que el porcentaje de autos nuevos que se conectaban a internet apenas alcanzaba el 10%,  pero se estimaba que para el 2020 el 90 % de los nuevos automóviles estarán conectados y que, para el 2022, habrá 1800 millones de conexiones M2M automotriz (Machine to Machine, ‘máquina a máquina’ concepto que se utiliza para referirse al intercambio de información o comunicación en formato de datos entre dos máquinas remotamente conectadas).

Ahora imaginan la escena anterior, en donde Bronet repentinamente comienza a realizar acciones extrañas y tú, al tratar de tomar el control, simple y sencillamente no puedes. Bronet comienza a acelerar y toma un camino completamente diferente, no puedes hacer llamadas telefónicas, los frenos no responden, no puedes tomar control del volante, las puertas y cristales están bloqueadas, en síntesis, has perdido el control total de Bronet y estás completamente expuesto a su control.

Ante esta situación, ¿qué pudo haber pasado?, ¿se trata de una falla en la computadora central de Bronet o ha sido hackeado?

Si bien es cierto que estar conectado trae muchas ventajas, tal y como lo imaginamos y disfrutamos en la primera escena, es una realidad que al estar conectados existe el riesgo latente, y muy alto, de que seamos víctimas de la ciberdelincuencia. Entonces surge la pregunta: ¿cómo es que los fabricantes de autos conectados aseguran dichas aplicaciones contra el riesgo de ciberataques?

La realidad es que, como toda nueva tecnología, la etapa inicial presenta muchas áreas de mejora y por el momento las medidas de seguridad en las aplicaciones de autos conectados están en esta etapa. Por ello, desafortunadamente los ciberdelincuentes:

  • Han encontrado vulnerabilidades que les dan acceso a servidores de las aplicaciones o a los sistemas multimedios del automóvil.
  • Incluso podrían insertar su propio código, programas de tipo troyano en las aplicaciones del auto, reemplazando con ello programas originales, lo que dejaría sin defensas a todo el sistema.
  • Al poder insertar aplicaciones maliciosas podrían robar las credenciales del usuario, lo que se traduciría en un robo de datos de los usuarios.
  • Continúan día a día buscando nuevas vulnerabilidades en dispositivos IoT, así que aún faltan más por descubrir.

Como en toda historia con antagonistas, también existen  héroes que luchan día a día para salvaguardar nuestra seguridad: Kasperky nos ha proporcionado una serie de recomendaciones que los usuarios de autos conectados podemos seguir para proteger nuestros vehículos y principalmente nuestra integridad ante posibles ciberataques. Las recomendaciones son:

  • Evitemos hacer root (activar el control privilegiado o “superusuario”) en nuestros dispositivos Android, ya que esto abrirá posibilidades casi ilimitadas a las aplicaciones maliciosas de instalarse en nuestro equipo.
  • Desactivemos la posibilidad de instalar aplicaciones de fuentes que no sean las de las tiendas de aplicaciones oficiales.
  • Mantengamos actualizada la versión del sistema operativo de nuestros dispositivos para reducir las vulnerabilidades del software y reducir el riesgo de ataque.
  • Instalemos una solución de seguridad probada para proteger nuestros dispositivos.

Conclusión

Es una realidad, todo estará conectado y en un futuro no muy lejano también será común ver en las calles de nuestras ciudades vehículos autónomos apoyando a los humanos a trasladarse, liberándonos del estrés y cansancio de manejar después de una jornada extenuante de trabajo , así como coadyuvando en el monitoreo de nuestra salud; sin embargo, cualquiera que sea el futuro, algo es innegable: la imperante necesidad de prevalencia de la seguridad. Esta condición es  irrenunciable y como humanos debemos hacernos cargo de aquello que nos corresponda para reducir los riesgos de ataque en cualquier contexto en el que nos encontremos.

Por Eleazar Cruz

Ciberataques con inteligencia artificial en Twitter

Twitter está siendo utilizado como una herramienta para realizar ciberataques. Mediante el uso de modelos de inteligencia artificial, cibercriminales recaban información de sus objetivos en la plataforma social y con base en los resultados envían mensajes de phishing a dichos usuarios.

Recordemos que los ataques de phishing son aquellos en los que un cibercriminal envía un mensaje engañoso a su objetivo, ya sea a través de correo electrónico, mensajería instantánea o redes sociales, para que éste introduzca información personal o para que al hacer clic descargue algún tipo de software malicioso (malware).

En una entrevista al diario El Economista, Ladi Adefala, estratega senior de Seguridad de Fortinet, declaró que los ataques lanzados a través de Twitter mediante Inteligencia Artificial son exitosos en promedio entre 40 y 60% de las ocasiones

De acuerdo con Adefala, los cibercriminales se están también aprovechando de otro tipo de dispositivos que emplean inteligencia artificial con el fin de recabar información de sus víctimas, como es el caso de los asistentes virtuales. El especialista mostró un ejemplo de lo que se conoce como skill squatting, que aprovecha las aplicaciones de reconocimiento del lenguaje de Amazon Alexa para extraer información sensible de sus usuarios.

Adefala explicó que un ciberdelincuente puede crear una skill (aplicación de Amazon Alexa) que con el fin de engañar a los usuarios, simule las mismas funciones que las de una marca reconocida de una institución bancaria o financiera. Si el usuario descarga dicha skill en lugar de la oficial de la institución, corre el riesgo de que sus datos bancarios sean robados y utilizados para cometer fraudes.

«Hackean» robot de cocina de Lidl y encuentran un micrófono oculto

Dos curiosos jóvenes franceses instalaron un videojuego en un dispositivo que no está previsto para ello: el robot de cocina de la empresa Lidl llamado Monsieur Cuisine Connect, el cual es la competencia de bajo costo del popular Thermomix.

Sin duda, es una situación alarmante que este tipo de dispositivos posean vulnerabilidades que permitan que un ciberatacante pueda aprovecharse de ellos para usarlos con otros fines, pero más impresionante fue el hallazgo de los jóvenes, que cuando intentaban hackear el dispositivo se encontraron con una sorpresa que no esperaban: el robot de cocina contaba con un micrófono oculto. El dispositivo parecía estar desactivado pero en perfecto estado de funcionamiento.

La compañía no menciona en su sitio web o en el manual de usuario sobre la existencia de este micrófono, según explican los franceses. Ambos comprobaron el funcionamiento del micrófono con la aplicación Discord, que es utilizada habitualmente por usuarios de videojuegos para hablar entre ellos, y han publicado un vídeo en YouTube en el que se aprecia cómo con los altavoces y el micrófono mantienen una conversación a través del robot de cocina.