Acorde a especialistas en protección de datos, un programa de Microsoft para transcribir el audio de Skype y Cortana lleva años operando sin las suficientes medidas de seguridad. Un antiguo contratista incluso afirma que revisó miles de grabaciones de contenido potencialmente sensible desde su ubicación en Beijing, China.
En su testimonio para The Guardian, el ex contratista afirma que los trabajadores de Microsoft han accedido a las grabaciones de Cortana y Skype, así como a las activaciones, tanto deliveradas como no intencionadas, del asistente de voz. Para esto, se recurrió a una aplicación web que se ejecuta en el navegador Chrome mediante Internet chino.
Este es un problema serio, ya que los usuarios no contaban con ayuda o asesoría en protección de datos de ningún tipo, por lo que sus datos estaban completamente expuestos al alcance de cualquier actor criminal o incluso estatal: “Los empleados ni siquiera tenían que autenticarse para acceder a estas conversaciones, incluso después de un tiempo comencé a trabajar desde casa”, afirma el ex contratista.
Al continuar con su testimonio, el informante agregó: “La compañía sólo me entregó un inicio de sesión vía email, con lo que obtuve acceso a las grabaciones de Cortana; de haber querido, habría podido compartir ese material con cualquiera, incluso con grupos criminales”. El informante afirma haber escuchado toda clase de conversaciones durante su trabajo con la compañía china.
Los expertos en protección de datos mencionan que, ente los muchos riesgos que estas prácticas conllevan, está el uso deshonesto de los datos de los usuarios, acceso a grabaciones de voz en un dispositivo comprometido, permiso a contratistas externos con fines de marketing, sin olvidar el potencial uso criminal de información sensible. Pos si fuera poco, el riesgo incrementa tratándose de un contratista chino, por lo que la información de miles, o incluso millones de empleados.
Por su parte, Microsoft publicó un comunicado respecto al reporte: “Durante el verano pasado finalizamos los programas de calificación para Skype y Cortana para Xbox, trasladando el resto de evaluación humana a instalaciones seguras; ninguna de estas instalaciones se encuentran en China”.
El Instituto Internacional de Seguridad Cibernética (IICS) menciona que las compañías recolectan esta clase de información argumentando fines de monitoreo de calidad y mejora del servicio, aunque estos fragmentos de información podrían ser realmente útiles con fines de marketing, lo que los convierte en objetivo de compañías anunciantes y cibercriminales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad