El pasado agosto un cliente de Amazon en Alemania solicitó al gigante de venta por Internet acceso a sus datos personales amparándose en el nuevo Reglamento General de Protección de Datos de la Unión Europea.
La empresa le envió un enlace para descargarse un archivo ZIP de 100 MB. Aproximadamente 50 de los archivos de la carpeta contenían datos relacionados con actividades cotidianas como las búsquedas del cliente en Amazon. Sin embargo, contenían también alrededor de 1.700 archivos de audio de formato WAV de un hombre desconocido que daba instrucciones a Alexa, el asistente virtual de Amazon.
El cliente, cuya identidad no se revela, quedó muy sorprendido al ver estos datos porque él no utiliza Alexa ni ningún dispositivo complementario del asistente, según ha revelado una nueva investigación del caso de filtración de datos personales llevada a cabo por la revista alemana de informática C't.
Archivos desaparecidos
El cliente de Amazon, identificado por C't con el nombre no real de Martin Schneider, contactó con la empresa para pedir explicaciones por las grabaciones de audio de una persona desconocida que había recibido.
Schneider no obtuvo respuesta, pero más tarde notó que las grabaciones habían desaparecido del 'link', de manera que ahora el archivo contenía solo sus propios datos personales. Sin embargo, él ya se había descargado el archivo y lo compartió de forma confidencial con C't para que realizara una investigación.
En la revista escucharon las grabaciones para encontrar a la persona a la que pertenecían. "Nos permitieron reconstruir una imagen detallada del cliente en cuestión y sus hábitos personales", reza el artículo sobre la investigación.
"Pudimos navegar por su vida sin su conocimiento"
Las grabaciones demostraron que el cliente utilizaba Alexa en múltiples ubicaciones de la casa e incluían incluso algunas hechas en la ducha. Asimismo, otra voz femenina también daba instrucciones a Alexa, de manera que los usuarios investigados en realidad eran dos.
"Pudimos navegar por la vida privada de una persona completamente desconocida sin su conocimiento, y la naturaleza inmoral, casi voyerista de lo que estábamos haciendo nos puso los pelos de punta. Las alarmas, los comandos de Spotify y las consultas sobre transporte público incluidas en los datos revelaron mucho sobre los hábitos personales de las víctimas [de la filtración], sus trabajos y su gusto por la música", relataron desde C't.
Usando estos datos privados, en la revista lograron identificar "fácilmente" al hombre y contactar con él a través de las redes sociales. El hombre confirmó que los datos le pertenecían. Asimismo, dijo que la revista identificó correctamente a su novia. De acuerdo con la víctima, identificada en el reporte como Neil Schmidt, no había recibido ninguna notificación sobre la filtración.
"Un percance lamentable"
C't contactó con Amazon para inquirir sobre el caso, pero desde la empresa se negaron a comentar los hechos. Simplement unos días después, en un correo electrónico, la compañía explicó que el incidente era "un percance lamentable" que se debía a un "error humano".
Asimismo, Amazon llamó a Martin Schneider y a Neil Schmidt para darles explicaciones sobre lo sucedido. Como forma de compensación, la empresa le regaló a la víctima de la filtración la membresía Prime de Amazon, un nuevo altavoz inteligente Echo y el altavoz Echo Spot para Alexa.
Las instrucciones de Alexa señalan que los usuarios pueden revisar y eliminar las grabaciones hechas por el asistente en la sección de privacidad en la página web de Amazon (para Alemania es amazon.de/alexaprivacy). Sin embargo, no muchos usuarios están al tanto de esta opción, señala la investigación de C't.