8/19/2019

¿Deberían los auditores internos preocuparse por los espías

digitales en nuestro medio?

Durante uno de los momentos más claros de una reunión reciente en la sede central de IIA Global, se
compartió el siguiente chiste:

Esposa: "¿Por qué siempre susurras en la casa?"

Esposo: "Porque me temo que el gobierno está escuchando".
Esposa se ríe. El esposo se ríe. Alexa se ríe. Siri se ríe.

Estoy seguro de que esta broma está circulando, desde salas de juntas hasta dormitorios y en las redes
sociales. Pero, cómo con muchos temas sobre los que bromeamos, el meollo del tema no es motivo de risa.

Según Juniper Research, con sede en el Reino Unido, habían 2.500 millones de asistentes de voz digital,
como Alexa, Siri y Google Assistant, en uso a fines de 2018. Se espera que esa cifra se triplique a 8.000
millones para 2023. Esto significa miles de millones de las personas en todo el mundo ya han intercambiado,
a sabiendas o no, un poco de su privacidad por conveniencia.

Mi primera exposición al poder de estas herramientas de transformación se produjo poco después de que
agregamos una Alexa en nuestra casa. Todos estábamos reunidos alrededor de gritar órdenes a Alexa, a lo
que ella respondió obedientemente. Finalmente, mi nieto de 3 años gritó "Alexa, quiero un abejorro". Todos
nos reímos. Poco tiempo después, recibí un mensaje de Amazon de que un juguete Bumblebee estaba en
camino.

Los asistentes digitales confían en la tecnología de escucha pasiva que activa o "activa" el dispositivo una vez
que se pronuncia un comando reconocido, como "Hey Siri". Eso significa que el dispositivo siempre está
escuchando esas frases o comandos desencadenantes. Esto plantea una gran cantidad de preguntas
relacionadas con lo que estos asistentes pueden estar escuchando y grabando.

Desde una perspectiva de gestión de riesgos, las organizaciones deben comprender qué riesgos están
asociados con estos dispositivos "siempre encendidos". Por ejemplo, no es probable que los asistentes
digitales se conviertan en equipos de oficina estándar, aunque algunos empleados han comenzado a llevarlos
a trabajar. También hay pocas dudas de que los teléfonos móviles de los empleados escuchan pasivamente
todo el tiempo. ¿Alexa o Siri en el lugar de trabajo dejan a una empresa vulnerable al espionaje corporativo,
los ataques cibernéticos o incluso la extorsión? ¿Podrían los hackers diseñar malware para involucrar e
interceptar subrepticiamente a un asistente digital y escuchar la vida de un ejecutivo corporativo?

Si bien eso puede parecer exagerado, el punto es que hay información limitada disponible para hacer una
evaluación de los riesgos asociados.

Las empresas que ofrecen servicios de asistencia digital, como Apple, Google y Amazon, se encuentran entre
las más grandes del mundo, e invierten mucho en tecnologías avanzadas diseñadas para mejorar la
experiencia del cliente. ¿Pero a qué precio?
Según el defensor de la privacidad Consumer Watchdog, las solicitudes de patentes para un algoritmo
permitirían que las futuras versiones de Alexa de Amazon monitoreen las conversaciones y apunten al orador
para publicidad en función de lo que se dijo. Eso plantea importantes cuestiones éticas.

A principios de este año, Amazon dio un vistazo a sus prácticas en respuesta a las preguntas de un miembro
del Senado de los EE. UU. Amazon confirmó que sus dispositivos habilitados para Alexa almacenan las
grabaciones de los usuarios indefinidamente hasta que los clientes eligen eliminarlas. Amazon también
explicó que usa transcripciones y grabaciones de conversaciones de clientes con Alexa para ayudar a mejorar
las capacidades de reconocimiento de voz del servicio. Y comparte registros de las interacciones de Alexa con
proveedores de servicios externos que pueden contactarse a través de Alexa, como Uber o Domino's Pizza.

Amazon confirmó que Alexa detiene el flujo de información que está recolectando "inmediatamente una vez
que el usuario finaliza la conversación o si Alexa detecta silencio o discurso que no está destinado a Alexa".

"Utilizamos los datos del cliente que recopilamos para proporcionar el servicio Alexa y mejorar la experiencia
del cliente, y nuestros clientes saben que su información personal está segura con nosotros", según la carta
del vicepresidente de política pública de Amazon.

Pero a la luz de la cantidad de infracciones de otras compañías de alto perfil, como Yahoo, Equifax y Capital
One, la promesa de seguridad de Amazon no es tranquilizadora.

Sería ingenuo creer que los fabricantes de asistentes digitales son los únicos proveedores de servicios que
recopilan y aprovechan los datos de los clientes. Pero un incidente de 2012 proporciona un ejemplo de cuán
poderosa puede ser esa información.

Un popular minorista estadounidense fue ampliamente criticado después de que un artículo del New York
Times expusiera su práctica de recopilar y analizar historiales de compras de clientes para asignar puntajes
de "predicción de embarazo". La investigación de la compañía indicó que las mujeres embarazadas tenían
más probabilidades de convertirse en clientes leales si se conquistaban anticipadamente en sus embarazos.

El artículo relata cuán precisos fueron los puntajes de predicción de embarazo. Un padre se enfrentó al
gerente de una tienda exigiéndole saber por qué su hija de 16 años estaba recibiendo cupones relacionados
con productos para el embarazo, solo para saber más tarde que la adolescente estaba embarazada.

En ese momento, Siri era el único asistente digital en el mercado. Desde entonces, Alexa (Amazon), Alice
(Rusia), AliGenie (China), Bixby (Samsung), Clova (Android, iOS), Cortana (Windows), Google Now, Google
Assistant y Mycroft (Linux) se han unido a la red. asistente virtual de mercado.

La nueva tecnología basada en datos es una característica permanente en la economía moderna. La auditoría
interna debe permanecer informada y alerta sobre cómo estas nuevas herramientas y tecnología afectarán la
privacidad, la protección de datos y los riesgos.

Como siempre, espero sus comentarios.

Declaración:
Richard F. Chambers, Presidente y Director General del Instituto Global de Auditores Internos, escribe un blog
semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de Auditoría Interna.