Hace ya bastante tiempo, saltó una polémica en España y en el resto del mundo que puso en la mira a Apple, Google y Amazon. Se descubrió que sus respectivos asistentes guardaban grabaciones sensibles de nosotros que luego escuchaban empleados para mejorar estos servicios.

Pero parece que la ciberseguridad alrededor de estos altavoces inteligentes sigue siendo un problema a resolver. Investigadores de la Northeastern University ubicada en Boston, Massachusetts han descubierto que los altavoces de Amazon almacenan información de forma física en estos dispositivos y que esta no se borra incluso si el usuario restablece estos aparatos.

Dichos investigadores han descubierto esto a raíz de aplicar tácticas de ingeniería inversa a altavoces de Amazon comprados de segunda mano, revelando que estos almacenaban datos como credenciales de WiFi.

Los altavoces de Amazon, afectados

Según detalla la investigación de la Northeastern University, los Amazon Echo almacenan ciertos tipos de información en la memoria flash de los altavoces. Esta memoria se conserva incluso aunque el propietario del Amazon Echo restaure el dispositivo; un hacker con suficientes conocimientos técnicos podría acceder a la información guardada dentro de dicha memoria.

Según los investigadores, el hecho de que esta memoria permanezca incluso después de una restauración de fábrica, es indicativo de que esta no está encriptada como debería. Como decimos, esta información se traduce en credenciales de acceso a puntos WiFi, localizaciones y más importante aún, dispositivos enlazados centrados en la seguridad. Recordemos que los Echo se suelen usar como centros domóticos para gestionar desde cerraduras hasta cámaras de vigilancia.

En total, los responsables detrás de la investigación inspeccionaron un total de 86 productos, todos obtenidos de segunda mano. Se revisaron altavoces de Amazon por un total de 16 meses, y descubrieron otro problema: más de la mitad de los dispositivos no estaban siquiera restablecidos, dejando a merced de cualquier usuario los datos de los dueños anteriores.

Hay que aclarar que no es tan simple obtener la información almacenada. De primeras, hay que acceder a la placa base del dispositivo en sí, y retirar un pequeño chip que contiene la memoria flash. Un chip que, además, está soldado. Y en tal caso, se necesita un dispositivo externo que sea capaz de extraer los datos. Ni que decir tiene que este no es ni mucho menos un proceso familiar para la gran mayoría de los usuarios.

Los investigadores descubrieron que los Amazon Echo reacondicionados comprados en la propia web del fabricante no tenían dichos datos almacenados, y achacaban el problema del restablecimiento a un proceso "confuso" de restauración de fábrica de cara al usuario.

Esto no quiere decir implícitamente que nuestros Amazon Echo están en peligro; de nuevo, un hipotético comprador de segunda mano necesitaría realizar un proceso muy laborioso para conseguir una información que además no implica datos bancarios o nombres de usuario. No obstante, esta cuestión vuelve a avivar las dudas sobre el tratamiento de los datos que otorgamos a los dispositivos inteligentes que tenemos en casa.

