Hace uno días , vi en un Tiktok , como poder solicitar todos los Audios de nuestro Alexa a Amazon. Algo que me alertó notablemente, ya que yo dispongo de uno, en el lugar donde muchas veces paso casi mi día completo trabajando.
Tras hacer una ardua tarea de lectura de políticas y normativas de ciberseguridad, sobre puesto de trabajo, teletrabajo, uso corporativo de los dispositivos, y un largo etcetera, no llegue a encontrar ni una minima sugerencia al respecto de la recomendación para evitar este tipo de dispositivos en los entornos de teletrabajo.
Tras haber encontrado, lo que os voy a contar a lo largo del post, seguro que al menos os genera inquietud. ( Audios incluidos )
Ni mucho soy lo minimamente importante o divertido para que Amazon o un tercero intente espiarme, pero tal vez, esto si pase con las personas estratégicamente y los VIPs de nuestra empresa. Perfiles con un alto grado de confidencialidad, que tal vez no lo tengan como yo en su mesa, pero puedan disponer de alguno en alguna habitación.
Os dejo mi Setup:
Por muy buen audio que el Echo tenga, me veo obligado a rescindir su contrato :)
Como solicitar audios alexa
El proceso para acceder a esta valiosa información es sorprendentemente sencilla y accesible para cualquier usuario de Amazon, siguiendo estos pasos:
No solo podéis solicitar los datos de Alexa , os pongo el enlace para ser más directos, si no podeis seguir los pasos:
- Accede a Amazon: Puedes hacerlo directamente desde su sitio web o mediante la aplicación móvil.
- Navega a ‘Mi cuenta’: Aquí encontrarás el perfil de tu cuenta de Amazon.
- Busca la opción ‘Gestionar tus datos’: Desliza hacia abajo hasta encontrar este apartado y selecciona ‘Solicitar tus datos’.
- Elige ‘Dispositivos Alexa y Echo’: Entre las diversas opciones de información que Amazon recopila sobre nosotros, debemos seleccionar esta para centrarnos en los datos recogidos por tus dispositivos Alexa.
- Envía tu solicitud: Con un simple clic en ‘Enviar solicitud’, iniciarás el proceso.
Amazon puede requerir una verificación adicional, y en mi caso, me envio un enlace de confirmación por correo electrónico. Este paso asegura que realmente seas tú quien solicita acceso a estos datos. Tras esto, Amazon nos advierte que puede tardar hasta un mes en compilar y proporcionar toda la información solicitada ( Entiendo que si solicitamos todos los datos ), la realidad es que en mi caso tardo solo 3 días, pero es tanta la información que manda , que he tardado mucho en procesarla.
Pero, ¿qué tipo de información puedes esperar recibir? Además de las grabaciones de voz, el archivo enviado por Amazon incluirá detalles como el número de serie de tu dispositivo Alexa, información sobre las redes Wi-Fi a las que se ha conectado, .... entre otros datos relevantes.
Este ultimo me pareció una bomba también. Si Amazon tiene nuestras direcciones y nuestras redes , podría hacer hacer publicidad dirigida por proveedores y zonas ;)
Puede parecer que este procedimiento refleja la transparencia de Amazon respecto a la gestión de los datos personales de los usuarios, pero, como veremos , el dispositivo, no solo graba cuando escucha "alexa" . ¿ Esta vulnerando la privacidad ? El dispositivo no solo graba a su propietario, quien consiente este uso de datos .... podríamos dar una vuelta a todo esto y abrir un amplio debate.
Que audios tiene Alexa de mi
Tras solicitar los audios de mis Alexa a Amazon, a los tres días, recibí un mail de descarga que me permitía descargarme los datos:
Descargarme la friolera de 1,27 Gb de Audios (wav) en su gran mayoría. Tenia mucho trabajo por delante, para ver que podría tener Amazon de mi:
Si desgranamos la capeta que nos remitió Amazon , a corto plazo, nos centraremos en los bloques que os señalo, donde podemos ver ya una primera parte de casi 2500 audios. En mi casa dispongo de 2 Alexas, por lo que por ello os indica Alexa_1 / 2 , centrándonoslas en el número 2, que es el que os muestro en mi escritorio.
Unido a las carpetas con todos los audios, y como podéis ver por el nombre de la carpeta padre, Amazon también nos remite varios .csv con la transcripción de todos los audios, tiempos y respuestas de Alexa. Algo muy valioso que me ha servido para quitar el "ruido" y buscar las anomalías en todo esto que nos manda Amazon de nuestros Alexa:
Como aporte de continuidad aterradora, trasladaros que del Alexa_1 me remitieron casi 10K de audios , haciendo un total de 12040 audios ( Muchos audios para mejorar la calidad del servicio )
Analizando los Audios que Alexa tiene de mi y viendo si me espía en el teletrabajo.
Dado que Amazon me había remitido más de 12K audios , me resultaba complicado analizarlos con el fin de ver si había "algo raro" en ellos, por lo que decidí poner el foco en las transcripciones que Amazon nos remite.
Si os fijáis en la carpeta de Alexa_2 , vienen dos .csv con las transcripciones , en la que tras confirmarlo, os traslado que vienen las transcripciones de ambas carpetas de audios.
Con el asombro, y tras un rato observando el documento de transcripción, decidí empezar el estudio por varios puntos que me llamaron la atención:
El que me llamas la atención principalmente , pero sobre el que poco podemos hacer, más allá de especular, es el que en todos los campos tiene "Data Not Available" ( 1 ) , ¿que quiere decir exactamente? , ¿Amazon a borrado de sus sistemas los archivos ?¿o simplemente no nos los manda?¿que ha visto?
¿ Por que lanzo estas preguntas ? ... El .csv nos revela un 0,45% de datos no remitidos , pero ahora vamos a lo mas alarmante:
Dentro de esta muestra, Amazon nos traslada que nos ha identificado correctamente y aun asi, no remite el audio
Donde, de esos 59 de 12992 , disponemos de un total 14 ( 23%) en los que Amazon me identificó correctamente, pero no remite ni la transcripción ni datos a mayores. ¿ Por qué Amazon ? .
En este punto, es posible que penséis ¿ Como que te identifico ? . Sencillo, en el proceso de configuración del asistente , nos remite una serie de preguntas, con el fin de identificar nuestra voz, para posteriormente identificarnos.
También esto me suscita muchas preguntas, si el sistema es capaz de identificarnos , ¿ Por que graba y almacena a todo el mundo ?¿ No solo debería almacenar mis audios ya que soy yo el que doy el consentimiento ? ¿ No podría identificarse esto como poner una cámara y grabar a la calle ?
Por otro lado , también tenemos sesiones de audios sin datos:
Sobre el que podemos encontrarnos audios con varios segundos de escucha, como el de este caso, sin activación del nombre Alexa , o que pudiese generarle algún tipo de confusión al asistente. Es normal que no transcriba lo que se dice o quien lo dice, pero si debería estar la identificación de fechas, como si vemos en algunos casos ( 3 ).
Principalmente , casi todos estos casos , son segundos de escuchas, en lo que en algunos audios, podemos identificar a alguien, y en otros muchos ( la mayoría ), simplemente Alexa recoge muestras sin activación:
Pero, ¿ Podríamos determinar que solo con esto Alexa nos espía en nuestro teletrabajo ? .
Tras analizar un gran numero de audios, principalmente buscando en las transcripciones, el trabajo consistió en buscar todo aquello que no debiese estar. Quitar audios que contengan en la transcripción palabras como Alexa, lampara , apaga , enciende ... ya que diría que es el principal uso que doy al asistente, ademas de escuchar Spotify.
Esto me hizo llegar a algunos audios importantes, en los que algunos eran de las propias reunione, donde se identifica mi voz perfectamente , donde ademas, no se dice ni de una forma aproximada, la palabra de activación.
Os voy a poner un ejemplo. En este caso , el audio y la transcripción esta sesgada con el fin de no exponer información, pero donde queda muy claro que es una reunión , en el que se tocan temas como contrataciones , o figuras importantes como la del CISO (1 ).
En concreto, he eliminado por mi parte la selección que os marco en el cuadro de arriba, y en la que podéis ver que si tiene audio:
Grabación realizada un Miércoles a las 10:30 de la Mañana:
Es por ello, que vereis en la grabación el mismo corte identificado. No cortes, os animo a escucharlo hasta el final:
Conclusiones y que hacer al respecto
Por el último de los audios , esta claro que , aunque no en gran medida, Amazon con su Alexa, puede almacenar datos ciertamente delicados. Y ya no solo eso, si no que , podría no llegar a guardarlos, pero si escucharnos premeditadamente . El o un tercero, que quisiese hacer un ataque dirigido.
Por ello, creo que lo primero que las organizaciones deben hacer, es concienciar sobre el uso de estos dispositivos , trasladando esta recomendación a las políticas y normativas de seguridad, ya que como veis , las medidas de seguridad, deberían ir más allá del simple puesto de trabajo o el móvil que usemos.
Por mi parte, ya no solo poner el mute ( sobre el que tengo ciertas sospechas que lo mismo no funcionaria ) , si no que cambiare por un altavoz bueno mi actual Alexa Echo.
Pero, aparte de esto, que más podemos hacer:
Evitar que Alexa almacene nuestros audios
Para evitarlo, y así proteger tu privacidad y evitar la acumulación de grabaciones de voz ( No lo dije a lo largo del post, pero tiene audios míos desde 2019 ), Amazon ofrece la posibilidad de desactivar la función de almacenamiento de audios por Alexa.
- Accede a la página de Amazon y dirígete a la sección ‘Mi cuenta’.
- Localiza la categoría ‘Contenido digital y dispositivos’ y selecciona ‘Dispositivos’.
- El sistema solicitará que ingreses nuevamente tu contraseña para verificar tu identidad.
- En el área de privacidad, haz clic en ‘Privacidad de Alexa’.
- Elige ‘Administrar datos de Alexa’.
- Dentro de ‘Grabaciones de voz’, haz clic en la flecha de ‘Elegir cuánto tiempo se guardarán las grabaciones de voz’.
- Finalmente, activa la opción ‘No guardar ninguna grabación de voz’. Esta acción no solo eliminará cualquier audio previamente almacenado sino que también evitará futuras grabaciones.
Parece que de momento estaremos algo tranquilos, pero revisaremos si esto es asi. Una prueba que también quiero hacer, es mantener el micro desactivado en el Alexa un mes, y ver si en ese mes, se grabo algún audio concreto.
Lo que esta claro, es que nuestra privacidad esta más expuesta en cada momento.En este post , me he centrado en Alexa, al ser el elemento sobre el que trabajaba, pero ... ¿pasará lo mismo con google?
Espero que os gustase el análisis, y que con esto, valoreis, opciones de uso y opciones de incluir en vuestras políticas y normativas una referencia al uso de este tipo de dispositivos.
