Un grupo de investigadores de Check Point ha identificado vulnerabilidades de seguridad críticas en ciertos subdominios de Amazon y Alexa. En concreto, estos fallos habrían permitido que un cibercriminal eliminara e instalara recursos en la cuenta de Alexa de una víctima, acceder a su historial de voz e, incluso, a sus datos personales.
El ataque tan solo necesitaba que el usuario hiciera un simple clic en un enlace malicioso creado por el cibercriminal y que la víctima interactuara con el dispositivo mediante la voz. Con millones de unidades vendidas en todo el mundo, el asistente de voz de Amazon es capaz de interactuar, establecer alertas, reproducir música y controlar diferentes dispositivos inteligentes de la casa.
Asistentes muy atractivos para los ciberdelincuentes
Los usuarios pueden ampliar las capacidades de Alexa instalando "recursos" adicionales, que son aplicaciones dirigidas siempre por la voz. Sin embargo, la información personal almacenada en las cuentas de Alexa y el uso del dispositivo como centro de control de automatización del hogar convierte a estos asistentes en un objetivo atractivo para los cibercriminales. "Son tan habituales que resulta muy sencillo pasar por alto la cantidad de datos personales que poseen. Los cibercriminales, por el contrario, los ven como instrumentos perfectos para acceder a la vida de las personas, dándoles la oportunidad de obtener sus datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta", subraya Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point.
Por suerte, subraya Check Point, Amazon respondió y solventó de forma rápida dichas vulnerabilidades. "Arreglamos este asunto poco después de que se nos informara, y continuamos reforzando nuestros sistemas. No tenemos conocimiento de ningún caso en que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta", subrayan fuentes de la compañía. Mientras, desde Check Point aseguran que "estas mega plataformas digitales pueden perjudicarnos, por lo que sus niveles de seguridad son de crucial importancia".