En la primera parte de este artículo, se ha repasado la línea de tiempo de los hitos más importantes de la aparición de los asistentes de voz, así como la descripción de las tecnologías en las que se basan.
Usos Actuales de los Asistentes de Voz
Los asistentes de voz han llegado a ser herramientas clave en muchas áreas de la vida cotidiana, desde el hogar hasta el entorno profesional. En el hogar inteligente, estos dispositivos permiten controlar luces, ajustar la temperatura y manejar la seguridad, optimizando el confort y la eficiencia energética. En cuanto a la organización diaria, ofrecen recordatorios, alarmas y calendarios, ayudando a gestionar las tareas de manera sencilla y eficaz.
También son una ventaja en el comercio electrónico, donde facilitan la realización de pedidos y ofrecen recomendaciones personalizadas, simplificando la experiencia de compra. Además, proporcionan acceso instantáneo a información y entretenimiento, como noticias, música y películas, todo adaptado a los gustos del usuario. Su papel en el ámbito educativo es cada vez más destacado, ya que apoyan el aprendizaje de idiomas, resuelven dudas de estudiantes y son una ayuda con diversas tareas. Asimismo, permiten a personas con discapacidades físicas o visuales controlar su entorno mediante comandos de voz, contribuyendo a la autonomía y la inclusión.
Por supuesto, nuevas aplicaciones también se van abriendo camino. Por ejemplo, en traducción, el "modo intérprete" de Google Assistant convierte conversaciones en tiempo real, lo cual es particularmente útil en viajes y entornos multiculturales. También, aunque aún en desarrollo, está la posibilidad de que los asistentes de voz faciliten la firma de contratos: aunque en la actualidad la mayoría de los contratos requieren métodos de firma digital o verificación biométrica, se prevé que, en un futuro, la autenticación por voz podría permitir la verificación de identidad para estos fines.
Con estos y otros usos emergentes, los asistentes de voz están constantemente adaptándose y expandiendo sus funciones para satisfacer las necesidades de los usuarios en diferentes áreas, proporcionando accesibilidad y personalización como nunca se había visto.
Riesgos de Seguridad y Privacidad
A medida que los asistentes de voz se integran en el día a día, los riesgos de seguridad y privacidad se vuelven más evidentes:
➡️ Recolección Masiva de Datos: Los asistentes almacenan comandos y, en ocasiones, conversaciones completas, lo que genera preocupación sobre el acceso de terceros a esta información. En 2018, se reveló que un dispositivo Amazon Echo (Alexa) grabó y envió accidentalmente una conversación privada de una pareja a un contacto de su lista [17]. Este incidente ocurrió cuando Alexa malinterpretó un comando y activó la grabación sin que los usuarios lo supieran. La pareja se enteró del hecho cuando recibieron un mensaje de texto del contacto que había recibido el audio, lo que planteó serias preocupaciones sobre la privacidad y la seguridad de los datos recogidos por los asistentes de voz.
➡️ Creación de Perfiles de Voz: Al analizar características únicas de la voz (tono, ritmo, entonación), los dispositivos pueden crear perfiles de usuario que podrían utilizarse para rastrear a las personas, convirtiendo la voz en un identificador biométrico. Los asistentes de voz pueden utilizar la biometría vocal para crear perfiles de usuario. Por ejemplo, Endesa y Mutua Madrileña permiten actualmente que los usuarios se identifiquen con su voz en los diferentes procesos de contact center de la compañía [12]. Son capaces de reducir los 90 segundos de media de identificación de un cliente a tan solo 5 segundos. Otro ejemplo es por ejemplo el sistema VALL-E de Microsoft que es capaz de clonar una voz de forma consistente con una muestra de 3 segundos [10][11][15]. Los riesgos de que este tipo de perfiles de voz puedan ser vulnerables a ataques que buscan falsificar la voz de un usuario plantean serias preocupaciones sobre la seguridad y el control de la identidad. Una de las mayores preocupaciones surge cuando los ciberdelincuentes ya tienen mecanismos para generar el patrón de voz de forma consistente con muestras de menos de 5 segundos y, además, de forma inadvertida por las víctimas.
➡️ Vulnerabilidad ante Ataques: Los asistentes conectados a la red y otros dispositivos del hogar pueden ser objetivo de ataques cibernéticos, comprometiendo datos personales y la seguridad física. Algunas de las vulnerabilidades más destacables son:
- El ataque de inyección de comandos por voz: escondidos en canciones o incluso en ruido blanco, se pueden incluir comandos que pasen desapercibidos y generen acciones no solicitadas como, por ejemplo: accesos a páginas web, realización o grabación de llamadas, activación del modo avión o incluso la modificación de los parámetros de conducción de coches inteligentes.
Estudiantes de diversas universidades han estudiado desde hace varios años este tipo de vulnerabilidades [4][13].
- Suplantación de voz (Spoofing): suplantando las voces de usuarios legítimas por voces clonadas con distintas tecnologías. Pueden conseguir que los sistemas atacados realicen acciones no solicitadas, del mismo modo que sucede con los ataques de fraude del CEO [5].
- Intercepción de datos en la nube: la intercepción de los datos que se suben a la nube para su análisis puede suponer que los ciberdelincuentes estén en disposición de perpetrar ataques como los mencionados anteriormente.
➡️ Uso Comercial No Consentido: Sin un control adecuado, los datos de voz pueden ser empleados con fines comerciales no autorizados como, por ejemplo: publicidad personalizada o venta de perfiles. Esto puede vulnerar la regulación existente, como el RGDP e impactar de forma directa con la privacidad de los usuarios. Recientemente ha habido casos en los que se ha multado a multinacionales como Amazon por importes de hasta 746 millones de euros por sus prácticas de tratamiento de datos [16].
➡️ Amenazas Futuras con respecto a la Computación Cuántica: la computación cuántica podría brindar las herramientas necesarias para romper los algoritmos de cifrado actuales como RSA o AES, exponiendo datos sensibles que hayan sido o estén siendo utilizados por los sistemas de tratamiento de voz. Se puede ampliar esta información en un artículo específico de este tema publicado anteriormente en este blog [14].
Medidas de Protección
Los usuarios pueden proteger su privacidad realizando, entre otras, las siguientes acciones:
➡️ Ajustando las configuraciones de los asistentes de voz. Por ejemplo: desactivar la activación continua ("Hey Alexa" o "Ok Google") cuando no se necesite.➡️ Revisando y eliminando grabaciones almacenadas periódicamente.
➡️ Limitando la recopilación de datos mediante las opciones de privacidad.
➡️ Configurando redes seguras (Wi-Fi con contraseñas robustas).
➡️ Activando la autenticación adicional con Multifactor.
➡️ Manteniendo el software del dispositivo actualizado.
➡️ Asegurando el acceso a grabaciones y verificando su uso legítimo al interactuar con asistentes en procesos legales o comerciales.
Regulaciones
Algunas de las normas jurídicas que afectan al uso y desarrollo de los asistentes de voz en España son:
➡️ Ley de Propiedad Intelectual (LPI) [6].➡️ Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) [7].
➡️ Reglamento General de Protección de Datos (RGPD) [2].
➡️ Ley Orgánica 3/2018, de 5 de diciembre, sobre la Protección de Datos Personales y la Garantía de los Derechos Digitales [8].
➡️ Ley de Telecomunicaciones [9].
➡️ Reglamento ePrivacy (actualmente en propuesta) [1].
➡️ Reglamento de Inteligencia Artificial [3].
Conclusiones
No obstante, estos avances tecnológicos también han traído consigo una serie de riesgos de seguridad de la información y de las personas. La recopilación masiva de datos personales sin control, la creación de perfiles a partir de nuestra voz de forma fraudulenta y la vulnerabilidad ante ataques en el mundo digital son algunos de los mayores desafíos actuales. Además, el uso comercial no consentido de nuestros datos y el acceso no autorizado a información sensible son problemas cada vez más frecuentes y preocupantes.
Por eso, mientras aprovechamos los beneficios de estos avances, es vital que tomemos medidas para proteger nuestra privacidad. Las empresas deben garantizar una mayor transparencia y seguridad, y los usuarios deben ser conscientes de cómo proteger sus datos personales. Al mismo tiempo, es necesario un marco legal actualizado que regule estos desarrollos tecnológicos, para que podamos seguir disfrutando de la tecnología sin poner en riesgo nuestra seguridad.
[2] Diario Oficial de la Unión Europea. (04 de mayo de 2016). REGLAMENTO (UE) 2016/679. Obtenido de https://www.boe.es/doue/2016/119/L00001-00088.pdf
[3] Diario Oficial de la Unión Europea. (12 de Julio de 2024). REGLAMENTO (UE) 2024/1689 por el que se establecen normas armonizadas en materia de inteligencia artificial. Obtenido de https://www.boe.es/buscar/doc.php?id=DOUE-L-2024-81079
[4] Guoming Zhang, C. Y. (30 de octubre de 2017). DolphinAttack: Inaudible Voice Commands. Obtenido de CCS '17: Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security: https://dl.acm.org/doi/pdf/10.1145/3133956.3134052
[5] INCIBE. (09 de enero de 2024). Suplantación del CEO utilizando la técnica de inteligencia artificial deepvoice. Obtenido de https://www.incibe.es/linea-de-ayuda-en-ciberseguridad/casos-reales/suplantacion-del-ceo-utilizando-la-tecnica-de-inteligencia-artificial-deepvoice
[6] Jefatura del Estado. (23 de abril de 1996). Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia. Obtenido de https://www.boe.es/buscar/act.php?id=BOE-A-1996-8930&tn=1&p=20220330
[7] Jefatura del Estado. (12 de Julio de 2002). Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Obtenido de https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758&tn=1&p=20230509
[8] Jefatura del Estado. (06 de diciembre de 2018). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Obtenido de https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
[9] Jefatura del Estado. (29 de junio de 2022). Ley 11/2022, de 28 de junio, General de Telecomunicaciones. Obtenido de https://www.boe.es/buscar/act.php?id=BOE-A-2022-10757
[10] Lingwei Meng, L. Z. (Julio de 2024). Autoregressive Speech Synthesis without Vector Quantization. Obtenido de https://www.microsoft.com/en-us/research/publication/autoregressive-speech-synthesis-without-vector-quantization/
[11] Microsoft. (2024). VALL-E. https://www.microsoft.com/en-us/research/project/vall-e-x/.
[12] Navarra Capital. (26 de mayo de 2023). Veridas implanta su biometría de voz en Mutua Madrileña y Endesa. Obtenido de https://navarracapital.es/veridas-implanta-su-biometria-de-voz-en-mutua-madrilena-y-endesa/
[13] Nicholas Carlini, P. M. (10-12 de agosto de 2016). Hidden Voice Commands. Obtenido de 25th USENIX Security Symposium: https://people.eecs.berkeley.edu/~daw/papers/voice-usenix16.pdf
[14] Prieto Carballo, J. A. (19 de enero de 2023). La Seguridad de la Información en la era de la Computación Cuántica. Obtenido de https://blog.isecauditors.com/2023/01/seguridad-de-la-informacion-en-la-era-de-la-computacion-cuantica.html
[15] Sanyuan Chen, S. L. (junio de 2024). VALL-E 2: Neural Codec Language Models are Human Parity Zero-Shot Text to Speech Synthesizers. Obtenido de https://www.microsoft.com/en-us/research/publication/vall-e-2-neural-codec-language-models-are-human-parity-zero-shot-text-to-speech-synthesizers-2/
[16] SiliconANGLE. (30 de Julio de 2021). Amazon ordered to pay $887M fine over data misuse. Obtenido de https://siliconangle.com/2021/07/30/amazon-ordered-pay-887m-fine-data-misuse/
[17] The Guardian. (25 de mayo de 2018). Amazon's Alexa recorded private conversation and sent it to random contact. Obtenido de https://www.theguardian.com/technology/2018/may/24/amazon-alexa-recorded-conversation
