Los altavoces inteligentes de Amazon y Google están diseñados para proporcionar información a través de comandos de voz. Ahora, investigadores de la firma de seguridad SRLabs han demostrado cómo unas pequeñas aplicaciones, aparentemente inocuas, pueden permitir a terceros espiar nuestras conversaciones.

Esta compañía alemana desarrolló cuatro "skills" para Alexa y otras cuatro "acciones" para Google Home, es decir, ocho pequeñas aplicaciones de voz para esos altavoces inteligentes. La compañía sostiene que los defectos que tienen estos dispositivos "permiten que un ciberdelincuente suplante la identidad para obtener información confidencial y espiar a los usuarios".

Tanto las "skills" de Alexa como las "acciones" para Google Home son activadas por el usuario mediante una orden de voz. Por ejemplo: "Alexa, dime mi horóscopo".

Cuando el dispositivo recoge la orden, ésta se convierte en texto y se envía directamente a una aplicación, y ésta a menudo opera fuera del control de Amazon o Google.

La compañía demostró que es posible hacer que el altavoz se quedase escuchando y registrando lo que pasa a su alrededor de forma indefinida.

Los investigadores incluso consiguieron demostrar que es posible introducir una forma simple de recopilar datos personales, como las contraseñas de los usuarios; por ejemplo, simulando que existe un problema en una petición del usuario para, a continuación, pedirle su contraseña por voz para instalar una supuesta actualización. Pura ingeniería social.

SRLabs avisó de estas y otras vulnerabilidades a Amazon y Google, que están trabajando para arreglarlas. Para la compañía de seguridad, "las implicaciones de privacidad de un micrófono conectado a Internet que escucha lo que uno dice son más amplias de lo que se entendía anteriormente".

"Los usuarios deben ser más conscientes del potencial de las aplicaciones de voz maliciosas que abusan de sus altavoces inteligentes", añade en un post oficial. "Amazon y Google deben implementar una mejor protección, comenzando con un proceso de revisión más exhaustivo de las 'skills' y "acciones" de terceros disponibles en sus tiendas de aplicaciones de voz".