Desde los primeros balbuceos de Siri, allá por 2011 con la presentación del iPhone 4s, los asistentes de voz inteligentes se han ido extendiendo a distintas marcas y dispositivos como una plaga más infecciosa que el hongo de The Last of Us. En España puedes hablar con la propia Siri, Alexa, Google Assistant, Cortana o Bixby a través del teléfono, altavoces inteligentes como el HomePod o los Echo, el televisor, la aspiradora y hasta el retrete Numi 2.0 de Kohler.

La progresiva implantación de esta suerte de mayordomos virtuales, capaces de llevar a cabo las más diversas tareas, ha levantado no pocas suspicacias y polémicas, sobre todo por la posibilidad de que los propios fabricantes puedan escuchar todo lo que digas. Más allá de esta pérdida de privacidad legal y consentida por los usuarios, aunque sea sin su conocimiento, la otra gran preocupación es la seguridad. Es un secreto a voces: los asistentes virtuales pueden ser la llave de entrada para que los hackers controlen a su antojo nuestros dispositivos.

Es lo que ha demostrado Guenevere Chen, profesora asociada del Departamento de Ingeniería Eléctrica e Informática de la Universidad de Texas (UTSA), que ha presentado sus conclusiones en un reciente artículo en el simposio de ciberseguridad USENIX Security 2023. En su investigación, Chen ha puesto en evidencia la facilidad con la que se pueden utilizar ataques de voz de ultrasonidos para explotar las vulnerabilidades de los asistentes de voz de nuestros dispositivos inteligentes.

Comandos inaudibles

Allá por 2018, cuando los altavoces inteligentes sólo estaban empezando a inundar el mercado, un equipo de la Universidad de Berkeley demostró que se podía utilizar el ruido blanco enmascarado en una canción para llevar a cabo ataques contra estos dispositivos. Este tipo de sonido no es inteligible por el oído humano, pero es capaz de utilizar comandos ocultos que pueden poner en grave peligro nuestra privacidad. 

Los asistentes, convertidos ahora en el corazón de la casa conectada, son una gran diana para los hackers, ya que a través de ellos se puede tomar control de multitud de dispositivos. Como ha sucedido a lo largo de las últimas décadas en temas de ciberseguridad, los expertos en la materia se dedican a desarrollar herramientas de ataque, para saber cómo defenderse y recomendar tanto a creadores de software y hardware como a los propios usuarios cómo solventar estas vulnerabilidades.

Altavoces inteligentes Chema Flores Omicrono

Así lo hicieron Chen y sus colaboradores, el estudiante de doctorado Qi Xia y Shouhuai Xu, profesor de Informática de la Universidad de Colorado Springs (UCCS), que han creado un troyano inaudible por ultrasonido cercano o NUIT, por sus siglas en inglés. ¿El objetivo? Estudiar cómo los piratas informáticos pueden aprovechar altavoces y micrófonos para atacar a los asistentes de voz de forma remota y sin que el usuario se entere.

Durante su investigación, el equipo de Chen utilizó NUIT para atacar distintos tipos de dispositivos, desde smartphones hasta portátiles o electrodomésticos inteligentes. Los resultados de sus experimentos demuestran que este troyano es tremendamente eficaz a la hora de controlar maliciosamente los productos tecnológicos más populares.

Ingenieria social

El método más habitual utilizado por los hackers para acceder a cualquiera de estos dispositivos es la ingeniería social, según Chen. Los atacantes se las arreglan para inducir a los usuarios a que se instalen aplicaciones, visiten sitios web o escuchen audios maliciosos. Si la gente empieza a tener más cuidado frente al phishing, la suplantación de la identidad de personas o compañías a través de mensajes o emails, el audio todavía no se percibe como un posible vector de ataque.

Así, cualquiera de tus dispositivos inteligentes puede ser una 'víctima' si ves un vídeo malicioso de YouTube con ataques de audio NUIT incrustados. Estas señales inaudibles son capaces de atacar discretamente el micrófono del propio dispositivo con el que se reproduce el vídeo, o infiltrarse a través de los altavoces de otros dispositivos.  

Diagrama de un ataque NUIT Guenevere Chen Omicrono

"Si reproduces YouTube en tu televisor inteligente, ese aparato tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos NUIT se volverá inaudible, y también puede atacar tu móvil y comunicarse con tus dispositivos con Google Assistant o Alexa. Incluso puede ocurrir en Zooms durante reuniones. Cualquiera puede incrustar la señal de ataque para hackear tu teléfono colocado junto a tu ordenador durante la reunión", sostiene Chen.

Logrado el acceso no autorizado a cualquier dispositivo, los hackers pueden enviar comandos inaudibles para reducir el volumen del propio aparato e impedir que el usuario oiga la respuesta del asistente de voz antes de proceder con otros ataques. Los investigadores llegaron a la conclusión de que para llevar a cabo con éxito un ataque contra dispositivos con asistente de voz, la duración de los comandos maliciosos debe ser inferior a 77 milisegundos, lo que los hace aún más difíciles de detectar.

[Google hará que sea más difícil activar el Asistente, si tú quieres]

"No se trata sólo de un problema de software o malware", explica Chen. "Es un ataque de hardware que utiliza Internet. La vulnerabilidad es la no linealidad del diseño del micrófono, que los fabricantes tendrían que solucionar". Chen y sus colaboradores examinaron la vulnerabilidad de 17 dispositivos inteligentes de diferentes marcas y los únicos que estaban más protegidos son los de Apple, ya que para atacar Siri los hackers necesitan robar o clonar la voz del usuario.

Eso sí, los avances de la inteligencia artificial con herramientas como VALL-E, la IA de Microsoft que puede imitar voces escuchándolas tan solo 3 segundos, se lo han puesto más fácil a los hackers. Los otros dispositivos con asistentes de voz como Alexa o Google Assistant salen peor parados, ya que pueden activarse usando cualquier voz, incluso la de un robot. 

Cómo defenderse

Una vez identificadas las vulnerabilidades, los investigadores de la Universidad de Texas han buscado las mejores estrategias para que los usuarios puedan salvaguardar su seguridad y privacidad. La principal recomendación de Chen es autenticar los asistentes de voz con herramientas como Voice Match de Google, Voice Match, que te permite enseñar al asistente a reconocer tu voz para que verifique tu identidad antes de ofrecer resultados personales o permitir controlar otros dispositivos.

Por supuesto, otra de las principales estrategias defensivas es cerciorarse de no hacer clic en enlaces sospechosos, tampoco en los que ofrecen contenidos en plataformas como YouTube, Spotify o TikTok. El usuario debe restringir al máximo los permisos al micrófono de sus dispositivos, algo que muchas apps solicitan sin necesitarlo. Por último, Chen aconseja algo que tiene todo el sentido del mundo, pero que convierte dispositivos como los altavoces inteligentes en cacharros sin utilidad: usar auriculares en lugar de altavoces.

[Esto es lo que pagas de luz por tener un altavoz con Alexa, Google o Siri, siempre conectado]

"Si no utilizas el altavoz para emitir sonido, tienes menos probabilidades de ser atacado por NUIT. El uso de auriculares establece una limitación: el sonido de los auriculares es demasiado bajo para transmitirse al micrófono. Si el micrófono no puede recibir el comando malicioso inaudible, el asistente de voz subyacente no puede ser activado", concluye Chen.

También te puede interesar:

• Los hackers se ceban con la administración pública española: un 455% más de ataques en 2022
• Tus mensajes de Gmail, en peligro: alertan de fallo en Google Chrome que expone tus correos
• La industria del videojuego, en vilo: piden 9 millones de euros tras hackear League of Legends
• Italia sufre un apagón de internet masivo por un fallo de red internacional y un ciberataque