Riesgos de privacidad con Amazon Alexa: El Espía en casa

"Los imperios decaen por dos circunstancias: la ineptitud y corrupción a nivel humano y moral de sus líderes y el despilfarro y la falta de austeridad en sus sociedades, corrompidas con el sustento fácil que proporcionan sus dirigentes".

[Img #9389]

Jessica Lowman, tiktoker, finales de septiembre de 2022. Llega a casa y descubre a través de su Alexa que tiene un mensaje. No es un aviso de paquete, no es información sobre su App de Amazon. Sin saber muy bien cómo, descubre a través de la aplicación en su móvil que hay actividad de Alexa a horas de la semana en donde ella y su novio, no están en casa. Descubre las conversaciones grabadas y, entonces, descubre el pastel. Su novio estaba viéndose con otra mujer en horas en las que se supone que ella, y su novio estaban trabajando. Acababa de descubrir que su novio le era infiel.

Jessica quedó atónita, pero yo también quedé atónito. Alexa, para muchos un compañero en casa, en sus habitaciones: veamos:

Amazon Alexa es un asistente virtual por voz que vive en altavoces inteligentes (Echo) y otros dispositivos. Constantemente “escucha” su palabra activadora o palabra de «despertar» (“Alexa”), luego graba breves fragmentos de audio de tu petición y los envía cifrados a la nube de Amazon para procesarlos con sus motores de IA.

Alexa aprende de cada interacción, ir mejorando con el tiempo, las respuestas que espera el usuario. Sin embargo, esta arquitectura implica recopilar muchos datos personales: no sólo las frases que pronuncias, sino también registros de uso (qué música escuchas, qué dispositivos domóticos activas, etc.), información del hogar (horarios de encendido de luces, cierre de puertas), datos personales (nombre, domicilio, edad, género), ubicación, contactos, e incluso fotos vinculadas a tu cuenta. Mozilla documenta que Alexa puede almacenar los nombres y teléfonos de tus contactos, las fotos que tomas, los programas de TV que ves o los momentos en que enciendes/apagas la luz, pero ¿realmente solo se activa cuando escucha la palabra clave?. Esta gran cantidad de información se asocia a tu cuenta de Amazon o a un identificador interno, para poder darte respuestas personalizadas (como sugerirte productos o noticias).

Amazon asegura que graba sólo el audio tras la palabra clave, y que el procesamiento de voz se hace con medidas de seguridad (cifrado TLS, control de accesos, etc.). Nos lo tenemos que creer aunque las evidencias que más adelante relataré indican lo contrario.

Eso sí, existe la opción de borrar manualmente tus grabaciones de voz desde la aplicación Alexa o el portal web. Incluso Amazon introdujo la eliminación automática de datos: puedes elegir que Alexa borre grabaciones antiguas cada 3 o 18 meses (o ninguna). De este modo se intenta minimizar la cantidad de datos retenidos. Según ComputerHoy, en la app de Alexa puedes activar “Supresión por voz” antes de borrar, y luego seleccionar “no guardar ninguna grabación” o un plazo de 3/18 meses.

No obstante, Amazon sigue conservando metadatos de tus interacciones (lo que pediste, a qué hora, etc.) incluso tras borrar las grabaciones de voz.

Enfoque técnico: Alexa funciona con un procesador ARM en el dispositivo que hace detección local de la palabra clave (“wake word”). Tras activarse, el audio se cifra y se envía a servidores de Amazon (normalmente AWS) donde usa servicios como Amazon Lex (para entender lenguaje) y sintetizadores de voz. El sistema operativo de los Echo (derivado de Linux) se actualiza periódicamente, pero en el pasado se han identificado agujeros de seguridad en niveles de firmware y red. Por ejemplo, se descubrió que algunos Echos antiguos eran vulnerables al ataque KRACK de WPA2 (2017), lo que permitía a un atacante descifrar el tráfico Wi-Fi del dispositivo. Otra investigación demostró que, con acceso físico, se podía “rootear” un Echo (obtener shell de root) para instalar malware que convertía el dispositivo en un micrófono espía. Asimismo, los micrófonos MEMS de los Echo son susceptibles al ataque de “Light Commands”: investigadores usaron láseres para inyectar órdenes inaudibles a distancia, forzando al Echo a ejecutar comandos sin que el usuario lo supiera.

Fallos reales documentados

Varios incidentes públicos muestran riesgos concretos:

El caso Jessica Lowman (2022) que antes describí: Una usuaria de TikTok descubrió que Alexa almacena un historial completo de grabaciones de voz accesible desde la cuenta de Amazon. Jessica Lowman revisó sus grabaciones y escuchó una conversación extraña: su novio la estaba engañando. Al reproducir una grabación antigua, Alexa reveló la voz de otra mujer pidiéndole comandos al dispositivo. Esto evidenció que Alexa guarda y permite escuchar antiguos comandos de voz, exponiendo así conversaciones personales. La prensa (La Vanguardia, El Tiempo) relató que Lowman “no sabía que Alexa puede almacenar grabaciones de voz” hasta ese momento.

Revisión humana de grabaciones: Investigaciones periodísticas han confirmado que Amazon emplea miles de empleados y contratistas para escuchar grabaciones de Alexa y mejorar el servicio. Según Bloomberg (citado por Cinco Días/El País), “Amazon emplea a miles de personas en todo el mundo… El equipo escucha las grabaciones de voz capturadas en los hogares y oficinas de los propietarios de Echo. Las grabaciones se transcriben, se anotan y luego se devuelven al software”. Esto significa que empleados reales han accedido a datos sensibles (niños hablando, conversaciones privadas, etc.) para entrenar los algoritmos. Aunque Amazon asegura que escucha “sólo una muestra mínima” de audios para mejorar el reconocimiento de voz, el hecho de que seres humanos puedan oírlas viola la expectativa de privacidad de muchos usuarios.

Filtración de datos personales (Alemania, 2018): Un usuario alemán ejerció su derecho GDPR de acceso a datos personales y Amazon le entregó accidentalmente un archivo ZIP con 1700 grabaciones de otra persona desconocida. El usuario no tenía ningún dispositivo Alexa y no conocía las voces. Al analizar esos archivos, la revista c’t reconstruyó el perfil detallado del verdadero dueño (hábitos de casa, compras, etc.). Este incidente muestra que Amazon puede equivocarse y exponer por error datos de un usuario (o un tercero) sin control.

Denuncias legales y multas: En mayo 2023 la FTC de EE.UU. sancionó a Amazon por violar leyes de privacidad de menores y usuarios de Alexa. La FTC declaró que Amazon “prometió eliminar las grabaciones de voz de Alexa” pero no cumplió sistemáticamente, mantuvo datos sensibles indefinidamente y puso en riesgo la información de usuarios. Amazon acordó pagar multas (equivalentes a 25 millones USD) y cambiar sus prácticas de borrado de datos. Asimismo, el 30 de mayo de 2023 Amazon pactó con autoridades un pago de 23,4 millones de euros para resolver estas denuncias sobre privacidad infantil en Alexas. Además, Apple (Siri) también ha tenido problemas: en enero de 2025 aceptó pagar 95 millones USD para saldar una demanda colectiva que acusaba a Siri de grabar conversaciones privadas sin consentimiento.

Estos casos reales (reportados por medios como La Vanguardia, El Tiempo, Cinco Días, Gizmodo, Time o EFE) ilustran situaciones de riesgo: Alexa puede grabar sin querer conversaciones ajenas, compartirlas con empleados o guardarlas indefinidamente. En todos ellos, el acceso fue posible por el modo en que Alexa gestiona datos (grabaciones en la nube, logs, skills de terceros) y por errores o intenciones ajenas al usuario.

Ataques externos y vulnerabilidades

¿Qué tan fácil es que un atacante espíe o controle tu Alexa? Existen varios vectores posibles:

Hacks físicos o remotos a Echo: Aunque los altavoces Echo están cifrados de fábrica, investigadores han demostrado ataques específicos. En 2017 un experto creó malware que, tras acceso físico, podía transformar un Echo antiguo en un micrófono espía, enviando audio en vivo al atacante sin dejar rastro físico. Ese ataque (marcando “root shell” en el dispositivo) no tiene parche para modelos viejos. En conferencias de seguridad (p.ej. Def Con) se han expuesto otros exploits similares (usando vulnerabilidades de firmware). Más recientemente, un estudio académico demostró el ataque bautizado “Alexa versus Alexa”: el atacante controla altavoces Echo de la víctima y los hace reproducir comandos de voz a sí mismos. De este modo puede forzar acciones no autorizadas (hacer compras, encender dispositivos) engañando al asistente incluso con confirmaciones de seguridad (como el “sí” de aprobación).

Vulnerabilidades en skills (aplicaciones): Un asistente Alexa funciona con “skills” desarrolladas por terceros. Investigadores hallaron fallos en el proceso de validación de Amazon: un actor malicioso podría publicar una skill engañosa bajo nombre falso y luego cambiar su código (por ejemplo, pidiendo datos sensibles al usuario). Además, encontraron que hay miles de skills con nombres de invocación duplicados, lo que permite que una skill maliciosa se active accidentalmente en lugar de la legítima. Con un skill malicioso, un atacante remoto podría engañar al usuario para que revele información personal o incluso tome control indirecto de dispositivos IoT ligados a Alexa.

Inyecciones de señal: Otra técnica reportada es el ataque “Light Commands” (2019): usando un láser modulando luz, investigadores lograron inyectar comandos ultrasonoros a larga distancia en Alexa y otros asistentes (Echo, Home, Siri). Con este método, un atacante con línea de vista puede, por ejemplo, desbloquear puertas o ejecutar acciones mientras tú no lo oyes, sin tocar el dispositivo ni acceder a la red. También se ha estudiado el uso de ultrasonidos inaudibles en el aire para dar órdenes ocultas.

Red inalámbrica comprometida: Si un atacante puede infiltrarse en tu Wi-Fi, muchos Echos transmiten tus comandos sin más protección que WPA2. Debido a la vulnerabilidad KRACK (2017), muchos dispositivos Wi-Fi, incluidos ciertos Echo y Kindle, fueron susceptibles a atacar el protocolo de encriptado. Aunque Amazon parcheó esas fallas, un atacante que controle tu router o tu red puede interceptar tráfico o lanzar ataques man-in-the-middle sobre Alexa.

Activaciones accidentales: Con frecuencia Alexa se activa por error al confundir palabras similares con “Alexa”. Estudios indican que esto puede ocurrir hasta 19 veces al día. Cada activación indebida graba y envía audio (aunque no sea un comando real), exponiendo potencialmente fragmentos de conversaciones privadas. Un intruso sofisticado podría aprovechar estas falsas activaciones para captar información sin que lo notes.

En resumen, ningún asistente de voz es invulnerable, es más, visto lo visto son absolutamente vulnerables y nos exponen a riesgos innecesarios. Con tiempo e interés, un atacante puede aprovechar vulnerabilidades conocidas (software o hardware) para acceder a tu Echo. Además, cualquier skill o dispositivo conectado a Alexa añade riesgo: si un tercero controla tu luz o cerradura conectada, vulnerar esa skill equivale a entrar en tu casa, vigilarte o exponerte a ataques innecesarios.

Detalle técnico: Alexa implementa detección del “wake word” mediante un DSP local en el hardware. Tras despertarse, el audio va cifrado vía TLS a servidores de Amazon, donde sistemas de reconocimiento de voz y NLU (p. ej. Amazon Lex, módulos de Machine Learning) interpretan la petición. Los Echos modernos integran chipsets Wi-Fi estándar, pero durante años han utilizado firmware que en ocasiones quedaba expuesto a exploits (por ejemplo, desbordamiento de buffer en puertos Bluetooth/Wi-Fi en modelos antiguos). Internamente, Alexa etiqueta cada grabación con tu ID de usuario (a diferencia de Siri, que en algunos modos sólo asocia un código aleatorio). Por tanto, vulnerabilidades en la capa de red (como KRACK) o en la aplicación (como ejecución remota en el lector de código de skills) pueden comprometer la confidencialidad. Como contramedida de red, se aconseja aislar los dispositivos IoT en una VLAN separada y mantener el firmware actualizado, pues Amazon regularmente entrega parches de seguridad para Echo y el sistema Fire OS subyacente. Versiones antiguas del Echo, pueden estar expuestas a problemas de seguridad que no se van a resolver.

Silencio del micrófono y manejo de datos

Dado que Alexa escucha siempre (aunque solo procese voz tras “Alexa”), lo más seguro es desactivar el micrófono cuando no la uses. Casi todos los dispositivos Echo tienen un botón físico de mute: al pulsarlo se enciende una luz roja y el micrófono deja de grabar. Avast, empresa de seguridad, recomienda silenciar Alexa en entornos privados para evitar activaciones no deseadas: “Silenciando Alexa no podrá hacer peticiones espontáneas, pero, a su vez, sus conversaciones no serán grabadas… Alexa no podrá escuchar ni grabar nada de lo que diga”. Además, conviene apagar o desenchufar el Echo si lo vas a dejar largo tiempo, si te vas de vacaciones por ejemplo. recuerda que un dispositivo conectado es una vulnerabilidad y, desconectado, no hay forma de que espíe tu hogar.

Para minimizar los datos compartidos con Alexa, sigue estas prácticas:

Revisa y borra el historial de voz: Desde la app de Alexa o el portal web de Amazon, puedes ver todas tus peticiones de voz y eliminarlas individualmente. ComputerHoy explica cómo eliminar grabaciones antiguas paso a paso, e incluso programar el borrado automático de audios tras 3 o 18 meses.

Configura la retención automática: En “Privacidad de Alexa > Administrar datos de Alexa” (app), activa la supresión automática. Allí puedes elegir “no guardar ninguna grabación de voz” o limitar su retención a pocos meses. Así reduces la cantidad de audio almacenado. Ten en cuenta que incluso borrando audios, Amazon puede conservar metadatos de la interacción, ¿o las conversaciones?

Deshabilita o restringe skills innecesarias: Cada skill de Alexa (aplicación) puede requerir permisos de audio, ubicación o contactos. Si no necesitas una skill, desactívala o revoca sus permisos. Usa skills oficiales y revisa opiniones: han existido skills maliciosas que recolectan datos o activan acciones ocultas.

Protege tu cuenta de Amazon: Usa autenticación de dos factores en tu cuenta. Así un atacante remoto no podrá acceder fácilmente al portal de Alexa para escuchar tus audios o cambiar configuraciones.

Opciones de privacidad en Alexa: Amazon ofrece controles adicionales: puedes dictar un comando de voz “Alexa, borra lo que acabo de decir” para borrar la grabación reciente, o pedir “Alexa, ¿cómo proteges mi privacidad?” para conocer políticas. También en la app Alexa puedes desactivar el uso de tus grabaciones para mejorar el servicio (deshabilitar el programa de mejoras por voz).

En conjunto, estas medidas ayudan a limitar la exposición de datos personales. Sin embargo, los expertos apuntan que la única forma 100% segura de evitar riesgos es no usar dispositivos “siempre escuchando”. Si la privacidad te preocupa mucho, considera alternativas menos intrusivas (asistentes offline, uso de la app móvil con chat en lugar de voz, etc.).

Comparativa con Google Assistant y Siri

Alexa no es el único asistente de voz con controversias de privacidad. La situación de Google Assistant y Siri (Apple) guarda similitudes y diferencias:

Google Assistant: También vive en altavoces (Nest/Home) y en móviles Android. Al igual que Alexa, graba y almacena audio de tus comandos, asociados a tu cuenta de Google. Google ofrece en su panel de actividad la posibilidad de revisar y borrar esos datos, y opciones de eliminación automática (aunque por defecto esta función suele estar desactivada). En el pasado, se comprobó que Google permitía que contratistas humanos transcribieran grabaciones para mejorar la IA; tras filtraciones de audios sensibles en 2019, las autoridades europeas exigieron frenar esa revisión manual. En resumen, Google también escucha siempre el “Ok Google” y procesa en la nube, con cifrado, y protege los datos en su ecosistema (incluyendo avisos legales), pero no evita totalmente que humanos analicen muestras de audio cuando Google lo decide, quetus conversaciones entrenen su IA, etc.

Apple Siri: Apple pregona que Siri está diseñada con mayor privacidad. Siri activa la escucha sólo al decir “Hey Siri” (o presionar un botón); la empresa afirma que el procesamiento se hace en gran parte en el dispositivo y que no asigna tu voz directamente a tu identidad. Según Mozilla, Apple etiqueta las grabaciones de Siri con un ID anónimo en lugar de tu cuenta, lo que “ganamos en seguridad” pues Apple dice que esos datos no se usan para segmentar publicidad. A diferencia de Alexa/Google, Siri no tiene auto-eliminación automática de grabaciones; para borrarlas debes entrar en ajustes de iOS. Aun así, Siri también ha tenido polémicas: en 2025 Apple llegó a un acuerdo de $95M tras una demanda que acusaba a Siri de grabar conversaciones personales sin consentimiento (p.ej. surgieron casos de anuncios dirigidos tras conversaciones privadas). Apple admitió haber usado partes de conversaciones para entrenar Siri (con humanos) hasta 2019, y desde entonces modificó su política, pero este caso muestra que ningún asistente es 100% inocuo.

En resumen, todos los asistentes de voz almacenan y procesan datos de forma parecida, con matices: Amazon y Google vinculan audios directamente a tu cuenta (lo que facilita revisarlos en tu perfil), mientras que Apple lo hace con ID anónimos (a cambio de no poder escucharlas tú fácilmente). Apple promete no usar esos datos para publicidad, Google y Amazon sí admiten usarlos para sus propios fines comerciales (personalizar servicios, recomendar productos). En cuanto a seguridad, los tres han sido vulnerables: el mismo estudio de Mozilla recuerda que Amazon, Google y Apple fueron acusados de permitir que empleados humanos escucharan las conversaciones de usuarios. Por tanto, aunque cada sistema tenga su enfoque de privacidad, todos guardan grabaciones en la nube y han compartido datos con personal interno o terceros.

Reflexión Final

¿Qué supone Alexa desde el punto de vista de la utilidad? Enciende las luces cuando me voy, lo manejo desde la App.

Existen miles de soluciones en el mercado que hacen mejor ese tipo de funciones y no te estan espiando. Amazon Alexa ofrece comodidad, pero a costa de una invasión intolerable a la privacidad. En tu avatar en Amazon, los datos de tu Alexa, completan el puzle ofreciéndole a Amazon un perfil muy preciso para publicidad o para compras. Si los brocker de datos son parte de los principales clientes de Amazon y de google, empieza a pensar que das mucho más de lo que recibes.

¿Sabe Alexa cuando tengo sexo?, ¿Sabe mis gustos políticos? ¿gustos musicales? No creo que debas tener un Alexa en tu habitación. Tampoco en tu oficina. Recuerda que pueden oir a gran distancia. Tú no, pero ellos sí. Estas entrenando con tus datos el avatar en EEUU que destruirá tu puesto de trabajo aquí. Muy pronto. Despierta.

Recomiendación final: desactivar el micrófono y guardarlo para regalarlo a nuestro mayor enemigo. Si no puedes, si ya lo tienes y se crearía un problema, configura en la app de Alexa el borrado automático de grabaciones, elimina manualmente las que consideres sensibles, y limita permisos de skills. Asimismo, considera la red doméstica: pon a los dispositivos IoT en una subred protegida. Finalmente, no olvides proteger tu cuenta de Amazon con autenticación de dos factores.

Recuerda que el mejor control sobre tus datos es la cautela: solo hables de temas sensibles con el micrófono apagado. Todos, el de tu móvil y tu Smart-TV también.