Los chinos escuchan a usuarios de Cortana y Skype
Acorde a especialistas en protección de datos, un programa de Microsoft para transcribir el audio de Skype y Cortana lleva años operando sin las suficientes medidas de seguridad. Un antiguo contratista incluso afirma que revisó miles de grabaciones de contenido potencialmente sensible desde su ubicación en Beijing, China.
En su testimonio para The
Guardian, el ex contratista afirma que los trabajadores de Microsoft
han accedido a las grabaciones de Cortana y Skype, así como a las activaciones,
tanto deliveradas como no intencionadas, del asistente de voz. Para esto, se
recurrió a una aplicación web que se ejecuta en el navegador Chrome mediante
Internet chino.
Este es un problema serio, ya que
los usuarios no contaban con ayuda o asesoría en protección de datos de ningún
tipo, por lo que sus datos estaban completamente expuestos al alcance de
cualquier actor criminal o incluso estatal: “Los empleados ni siquiera
tenían que autenticarse para acceder a estas conversaciones, incluso después de
un tiempo comencé a trabajar desde casa”, afirma el ex contratista.
Al continuar con su testimonio,
el informante agregó: “La compañía sólo me entregó un inicio de sesión vía
email, con lo que obtuve acceso a las grabaciones de Cortana; de haber querido,
habría podido compartir ese material con cualquiera, incluso con grupos
criminales”. El informante afirma haber escuchado toda clase de
conversaciones durante su trabajo con la compañía china.
Los expertos en protección de
datos mencionan que, ente los muchos riesgos que estas prácticas conllevan,
está el uso deshonesto de los datos de los usuarios, acceso a grabaciones de
voz en un dispositivo comprometido, permiso a contratistas externos con fines
de marketing, sin olvidar el potencial uso criminal de información sensible. Pos
si fuera poco, el riesgo incrementa tratándose de un contratista chino, por lo
que la información de miles, o incluso millones de empleados.
Por su parte, Microsoft
publicó un comunicado respecto al reporte: “Durante el verano pasado
finalizamos los programas de calificación para Skype y Cortana para Xbox,
trasladando el resto de evaluación humana a instalaciones seguras; ninguna de
estas instalaciones se encuentran en China”.
El Instituto Internacional de
Seguridad Cibernética (IICS) menciona que las compañías recolectan esta clase
de información argumentando fines de monitoreo de calidad y mejora del
servicio, aunque estos fragmentos de información podrían ser realmente útiles
con fines de marketing, lo que los convierte en objetivo de compañías
anunciantes y cibercriminales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.