Desarrollo de un modelo para el análisis de vulnerabilidades de dispositivos inteligentes de reconocimiento de voz, basado en la norma ISO/IEC 27005:2011, caso de estudio Amazon echo (ALEXA)

Abstract

El presente trabajo de investigación pone de manifiesto las vulnerabilidades a las que como usuarios estamos expuestos al utilizar dispositivos de reconocimiento de voz, en particular, el caso de estudio de este trabajo: Amazon ECHO, Alexa. Pese a que el objetivo de este dispositivo es facilitar actividades cotidianas a sus usuarios, éstos no están exentos de ser manipulados por terceros, vulnerando así no solo la seguridad de nuestros hogares, sino también poniendo en riesgo nuestra privacidad. Con el estudio preliminar, de vulnerabilidades de estos dispositivos, se plantea un modelo de gestión seguridad de éstas, el cual busca asegurar el entorno del usuario de estos dispositivos. El modelo se basa en la norma ISO-IEC 27005:2011, la cual proporciona directrices, para gestionar riesgos, a través de la identificación de activos, amenazas, vulnerabilidades, eventos existentes y los controles de seguridad a aplicarse. Con la ayuda de esta norma, y con la opinión de los usuarios obtenida a través de una serie de entrevistas semiestructuradas, se elaboran matrices de riesgos y sugieren controles de seguridad, con el fin de que puedan ser adoptados por los mismos y asegurar su entorno actual. Por otro lado, con el fin de evidenciar una vulnerabilidad física y lógica de interés por sus características técnicas, se llevó a cabo un experimento, en donde se reproduce un ataque a través de comandos inaudibles de voz, logrando visualizar de forma clara un tipo de ataque al que los usuarios están expuestos. Como conclusión, se pudo evidenciar una reacción positiva por parte del usuario, al considerar los controles sugeridos que tratan de mitigar el riesgo existente en su entorno. Finalmente, planteamos trabajos a futuro que puedan abarcar la implementación y monitoreo del modelo propuesto