Imagínese subcontratar todas esas tareas de oficina mundanas (administrar calendarios, pedir suministros, reservar salas de reuniones) a Alexa, el asistente virtual activado por voz de Amazon. Con la nueva Alexa for Business de Amazon, esa fantasía puede hacerse realidad, pero potencialmente a expensas, dicen algunos investigadores de ciberseguridad, de serios riesgos de seguridad. Piensa, espionaje corporativo y hackeos.
El jueves, Amazon presentó su nueva versión empresarial de su popular asistente virtual Alexa, que funciona con el altavoz Echo de Amazon habilitado para Internet. Alexa for Business puede hacer de todo, desde hacer llamadas telefónicas hasta averiguar cuándo debe partir hacia el aeropuerto.
Pero el hacker de sombrero blanco William Caput advierte que Alexa for Business es un riesgo potencial para la seguridad de las empresas. Caput, que realiza pruebas de penetración en empresas, dice que los dispositivos que siempre escuchan, como televisores inteligentes y asistentes virtuales, transmiten datos a la empresa matriz de un producto para utilizarlos en cosas como la minería de datos.
'Parece muy ingenuo que una empresa considere usar algo como esto a menos que exista una política de uso explícita que indique que ciertos tipos de transmisión de datos no sucederán', dice Caput. `` Antes de usarlo, querrá realizar pruebas rigurosas de piratería y averiguar qué se está escuchando y qué se está enviando ''.
Amazon escuchando
Dado que Alexa se puede integrar con sus activos de TI como teléfonos y calendarios, Tim Roddy de Fidelis Security dice que algunos datos se almacenarán en la infraestructura de Alexa. Esto podría significar que Amazon almacena o transmite algunos datos de la empresa.
Caput dice que Amazon, en particular, tiene un incentivo para escuchar y recopilar palabras clave que luego pueden usarse en marketing dirigido. La Wall Street Journa l informa que Amazon afirma que el altavoz Echo no envía datos a la nube a menos que los usuarios 'despierten' el dispositivo usando su nombre: 'Alexa'. Pero, Caput dice que Alexa for Business aún no ha sido probada rigurosamente por la comunidad de seguridad y se desconocen los riesgos potenciales, los agujeros de seguridad y las vulnerabilidades.
Espionaje corporativo
Las empresas realizan espionaje corporativo para obtener una ventaja en los acuerdos o una ventaja en los avances tecnológicos, como el Uber-Waymo caso de secreto comercial de vehículos autónomos. Caput dice que los dispositivos inalámbricos son herramientas ideales para explotar con este propósito, ya que los dispositivos conectados tienen protocolos de seguridad mínimos. 'Un competidor podría piratear el dispositivo', dice Caput. 'Puedo tomar el control de una computadora y acceder a su cámara web o un altavoz inalámbrico con herramientas disponibles públicamente'.
Piratería gubernamental
how tall is julio iglesias
El espionaje del gobierno también es un riesgo. 'Puede hacer que la Agencia de Seguridad Nacional esté escuchando', dice Caput. `` Tiene todo el aparato de seguridad que descubrió Ed Snowden: la interceptación de dispositivos sin orden judicial ''.
Si bien estos riesgos pueden parecer paranoicos, como investigador cibernético, Caput dice que los dispositivos conectados son una forma preferida de violar los protocolos de seguridad de una empresa. 'No es una teoría de la conspiración', dice. 'He visto este tipo de hacks o los he hecho yo mismo con dispositivos de Internet de las cosas'.
Rick McElroy sugiere que las empresas realicen su propio análisis de riesgos sobre si vale la pena incorporar una nueva tecnología como Alexa for Business. '¿El valor de esta tecnología supera o compensa el riesgo?' ', Dice McElroy, estratega de seguridad de Carbon Black, una empresa de ciberseguridad. 'Si la respuesta es 'sí', entonces se debe hacer un esfuerzo concertado para parchear continuamente cuando haya actualizaciones disponibles, así como para educar a los empleados sobre las mejores prácticas de ciberseguridad'.
