Uno de los grandes obstáculos para que proliferen los hogares inteligentes o smart homes, es la desconfianza de los usuarios. Muchos se rehúsan a tener un asistente de voz, ya sea Alexa o Google Home, por miedo a ser víctimas de un ciberataque o que los espíen. Y los recientes informes no ayudan.
El investigador de seguridad Matt Kunze acaba de recibir una recompensa de 107,500 dólares por parte de Google. ¿La razón? Descubrió un grave problema de ciberseguridad en los altavoces Google Nest: una falla permitía a los hackers espiar conversaciones privadas y controlar los aparatos inteligentes de los usuarios, según informó Bleeping Computer.
Mientras experimentaba con su propia bocina, el experto encontró que podía abrir una “puerta trasera” para acceder al dispositivo de forma remota. Una vez dentro, explica en su blog, era “demasiado fácil” añadir nuevos usuarios desde la app móvil de Google Home.
Los asistentes de voz están ‘en alerta’ todo el tiempo, escuchando cada sonido para detectar cuando se le dan órdenes. Es decir, que oyen todo lo que dices y pueden almacenarlo para fines desconocidos.
Al estar registrado como ‘usuario’, el hacker podía tomar control del altavoz de forma remota mediante WiFi. Con esto, el hacker podría vincularse al dispositivo para acceder a toda la información y al micrófono sin siquiera estar cerca. Esto permitía actividades malintencionadas como espiar a las víctimas, escuchar y grabar todas las conversaciones cercanas al dispositivo.
Además, muchos usuarios vinculan sus electrodomésticos inteligentes y wearables (como un smartwatch) a Google Home. Al controlar la red el atacante podría realizar llamadas telefónicas, secuestrar aparatos, manipular alarmas y sistemas de seguridad, prender y apagar el televisor o trasmitir cualquier cosa, configurar rutinas programadas y reproducir música, entre otras cosas.
Sin embargo, lo que suele interesarles más es robar información delicada: datos personales y bancarios, certificado e ID de la nube, contraseñas, historiales de navegación, contactos, horarios, rutinas, actividades y un largo etcétera.
Todo sin que el dueño se percatase del espionaje. Muchos usuarios ignoran la alerta de luz azul de la bocina, que se enciende cuando hay actividad, asumiendo que se está actualizando o algo así.
Para la prueba, el especialista usó su altavoz Google Home Mini, pero afirma que el error se presentaba en todos los dispositivos Nest la firma tecnológica.
Kunze detectó la grave falla en enero de 2021 y se lo comunicó a Google en marzo. La vulnerabilidad quedó completamente corregida a mediados del mismo año y la big tech informó que no se registraron usuarios afectados por la brecha de seguridad.
Los Google Home se lanzaron en 2016 para conectarse a Google Assistant mediante comandos de voz y, de paso, competir con Alexa de Amazon, que salió dos años antes. Es decir, que los ciberdelincuentes pudieron aprovechar el error durante años antes de que lo arreglaran.
En la actualidad, todos los Google Nest son “bastante seguros” y “no ofrecen espacio a ataques”, asegura el propio Kunze. La empresa se encargó de ‘cerrar el camino’ con una serie de actualizaciones.
Estas mejoras incluyen impedir que se agreguen usuarios o cuentas a Google Home de forma remota, sino solo por medio de una invitación. También corrigieron la seguridad de las llamadas telefónicas, con protección adicional para evitar el inicio remoto con el sistema de rutina programada.
Además, las pantallas inteligentes de Google ahora requieren un código QR para iniciar sesión, es decir, que el hacker necesitaría acceso físico a un dispositivo para conectar su cuenta.
No obstante, Matt reconoció que la falla no ofrecía muchos vectores de ataque y que las vulnerabilidades eran bastante sutiles. Dijo que, aparte de la privacidad de las llamadas telefónicas, lo más que podía hacer un atacante era cambiar algunas configuraciones básicas del usuario.
