No solo nos pueden espiar utilizando las cámaras integradas en nuestros ordenadores, sino también a través de los micrófonos. ¡Y de una manera muy discreta! Aparentemente, solo se necesita el navegador Google Chrome y un micrófono.
Cualquier página web puede interactuar con los diferentes dispositivos que integran el PC. Naturalmente, el usuario tiene que dar su consentimiento, pero en la mayoría de los casos se trata de una operación sencilla, con un simple clic en el botón “Aceptar” es suficiente. Por ejemplo, para subir una imagen en el perfil de una red social, solo hace falta confirmar la operación y activar la webcam para sacar una foto. Pero ¿es posible que la página web en cuestión siga controlando algunas funciones del equipo sin que el usuario lo sepa?
Tal Ater, un desarrollador de software israelí, ha demostrado que esto es posible. La entidad ha descubierto una vulnerabilidad en el código del navegador Google Chrome la cual, si la explotase un cibercriminal, podría transformar el PC en la herramienta perfecta para espiar al usuario. Solo sería necesario que la víctima utilizase una herramienta de reconocimiento vocal y encendiese el micrófono una sola vez. A partir de ese momento, el cibercriminal podría grabar el sonido a través del micrófono, incluso con la página web cerrada. Además, el indicador rojo de grabación se apagaría para engañar al usuario y hacerle creer que ha finalizado la operación.
Para demostrar su descubrimiento, Ater grabó un vídeo de 4 minutos (http://www.youtube.com/watch?v=s5D578JmHdU), donde el usuario abre una página web ya comprometida que ofrece herramientas para convertir la voz en texto. Después de haber cerrado la página, el navegador sigue grabando el sonido del ambiente. Posteriormente, se envían los datos a los servidores de Google, se convierten en texto y llegan directamente a las manos de los cibercriminales.
Sin embargo, existe otro detalle que empeora la situación aún más: la mayoría de estas páginas web de reconocimiento vocal utilizan la conexión protegida https. Así, el navegador guarda el consentimiento del usuario y no vuelve a preguntar al usuario si quiere activar el micrófono. Además, la vulnerabilidad que hemos mencionado puede ser modificada para que la herramienta empiece a grabar automáticamente cuando se utilizan algunas palabras específicas. ¡Un arma perfecta para espiar!
Lo más curioso de todo es que Google conoce esta vulnerabilidad desde el pasado mes de septiembre. Antes de publicar su descubrimiento, Tal Ader contactó con el gigante de búsquedas para informarle al respecto. En menos de dos semanas, los representantes de la compañía le confirmaron que la vulnerabilidad había sido resuelta y que el parche estaba listo. Después de cuatro meses, todavía no se ha lanzado el parche.
No sabemos por qué los desarrolladores de uno de los navegadores más importantes se han comportado de esta manera tan extraña. De todas formas, os aconsejamos prestar mucha atención a estas vulnerabilidades o incluso no utilizar las herramientas de reconocimiento vocal con Google Chrome. Como último recurso, podéis desinstalar el navegador, así como sus marcadores y extensiones, para que no se pueda grabar ningún sonido, evitando de este modo que los datos lleguen a las manos de los cibercriminales.