Ahora los ciberataques pueden llegar a través del sonido, pero no es eso lo que debería preocuparte, sino que nunca serás capaz de escucharlos.
Una investigación de profesores de Ingeniería Informática de la Universidad de Texas en San Antonio (UTSA) y la Universidad de Colorado (UCCS) han conseguido desarrollar una nueva forma de penetrar en otros dispositivos.
Ha sido bautizada como NUIT (siglas en inglés de ‘troyano casi inaudible por ultrasonidos’) y, en esencia, consiste en reproducir ultrasonidos para dar órdenes a los asistentes de voz de Google, Apple, Amazon o Microsoft.
Una vez reciben los comandos a través de sus micrófonos, queda poco que hacer.
Esto se debe a que los micrófonos de los dispositivos pueden captar y responder a las órdenes que les llegan mediante sonidos que se quedan al borde de ser ultrasonidos.
Ahora bien, ¿cómo los micrófonos de tu teléfono o altavoz inteligente pueden acabar escuchando ese sonido?
Los investigadores explican que estos audios podrían ser colgados en cualquier página web o plataforma, incluyendo YouTube, a modo de anzuelos, para que alguien pique sin darse cuenta de la trampa.
La experta
Guenevere Chen, profesora de la UTSA, explicó que, “si reproduces YouTube en tu smart TV, esa smart TV tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos NUIT se volverá inaudible”.
Recalca que, también puede atacar tu móvil y comunicarse con tus dispositivos Google Assistant o Alexa.
Incluso “puede tener lugar durante reuniones en Zoom. Si alguien activa su micrófono, pueden colar la señal de ataque para hackear tu teléfono, que está colocado junto a tu ordenador durante la reunión”.
Así, han detallado que los ruidos con los que ejecutan los comandos solo tienen una duración de 0,77 segundos, algo que complica aún más su detección.
El único inconveniente que tienen es que se necesita cierto volumen para que el ataque sea efectivo.
En cambio, si estás pensando que te darás cuenta de que has sido víctima porque escucharás la voz del asistente responder a la petición, te equivocas:
“Los comandos también pueden incluir una orden para silenciar su voz y que, así, la víctima no sea consciente de lo que está ocurriendo”.
El dato
Por ahora, han probado con 17 dispositivos de distintas marcas y la identificación de voces del usuario —una herramienta para que solo tú o tu familia puedan hablar con un determinado gadget—.
Solo en el caso de Apple, esta función ha logrado evitar que puedan campar a sus anchas, a no ser que se cree una voz artificial parecida a la del humano, algo mucho más complejo.
Sea como sea, es algo que supera lo que habían conseguido en 2017 un grupo de investigadores de la Universidad Zhejiang de China, que desarrollaron modelo similar, pero con una serie de limitaciones que rebajaban su peligrosidad.
Lam seguridad
Hervé Lambert, director global de operaciones de Panda Security, hace hincapié en que esta técnica supone “un problema para todo el mundo de la domótica y los sistemas de dispositivos conectados”.
Agrega que, “uno de los escenarios más devastadores se puede ver en el caso de ciudades hiperconectadas, donde alguien pueda reproducir música o un vídeo que incluya ultrasonidos para que llegue a los micrófonos de las calles”.
Apunta antes de poner otros ejemplos, como los hoteles que usen sistemas similares. “Es un escenario fantástico para robar a huéspedes.
Puedes tener un buen sistema y que luego se abra la puerta con algo así. No es ciencia ficción, sino algo que con tiempo y recursos no es demasiado complejo”, avisa.
Los desarrolladores de NUIT, por su parte, han desarrollado dos tipos de variantes para llevar a cabo los ataques.
La primera es cuando el dispositivo que reproduce el ruido —un móvil o un altavoz— se convierte, al mismo tiempo, en la víctima del ataque.
Ellos mismos han compartido un vídeo en el que muestran cómo funcionaría para, por ejemplo, abrir la cerradura de una puerta conectada a internet.
La otra consiste en aprovechar el ruido emitido en un ordenador, altavoz o televisor —por poner algunos ejemplos— y así entrar hasta la cocina de cualquier otro dispositivo que cuente con un asistente como Siri o Alexa.
De este modo, se puede ver a una persona que reproduce el ultrasonido en su ordenador y, de nuevo, eso basta para que el malware se cuele en su teléfono y sea capaz de abrir esa puerta.
