¿Deberían los auditores internos preocuparse por los espías digitales en nuestro medio?
Durante uno de los momentos más claros de una reunión reciente en la sede central de IIA Global, se compartió el siguiente chiste:
Esposa: «¿Por qué siempre susurras en la casa?»
Esposo: «Porque me temo que el gobierno está escuchando».
Esposa se ríe. El esposo se ríe. Alexa se ríe. Siri se ríe.
Estoy seguro de que esta broma está circulando, desde salas de juntas hasta dormitorios y en las redes sociales. Pero, cómo con muchos temas sobre los que bromeamos, el meollo del tema no es motivo de risa.
Según Juniper Research, con sede en el Reino Unido, habían 2.500 millones de asistentes de voz digital, como Alexa, Siri y Google Assistant, en uso a fines de 2018. Se espera que esa cifra se triplique a 8.000 millones para 2023. Esto significa miles de millones de las personas en todo el mundo ya han intercambiado, a sabiendas o no, un poco de su privacidad por conveniencia.
Mi primera exposición al poder de estas herramientas de transformación se produjo poco después de que agregamos una Alexa en nuestra casa. Todos estábamos reunidos alrededor de gritar órdenes a Alexa, a lo que ella respondió obedientemente. Finalmente, mi nieto de 3 años gritó «Alexa, quiero un abejorro». Todos nos reímos. Poco tiempo después, recibí un mensaje de Amazon de que un juguete Bumblebee estaba en camino.
Los asistentes digitales confían en la tecnología de escucha pasiva que activa o «activa» el dispositivo una vez que se pronuncia un comando reconocido, como «Hey Siri». Eso significa que el dispositivo siempre está escuchando esas frases o comandos desencadenantes. Esto plantea una gran cantidad de preguntas relacionadas con lo que estos asistentes pueden estar escuchando y grabando.
Desde una perspectiva de gestión de riesgos, las organizaciones deben comprender qué riesgos están asociados con estos dispositivos «siempre encendidos». Por ejemplo, no es probable que los asistentes digitales se conviertan en equipos de oficina estándar, aunque algunos empleados han comenzado a llevarlos a trabajar. También hay pocas dudas de que los teléfonos móviles de los empleados escuchan pasivamente todo el tiempo. ¿Alexa o Siri en el lugar de trabajo dejan a una empresa vulnerable al espionaje corporativo, los ataques cibernéticos o incluso la extorsión? ¿Podrían los hackers diseñar malware para involucrar e interceptar subrepticiamente a un asistente digital y escuchar la vida de un ejecutivo corporativo?
Si bien eso puede parecer exagerado, el punto es que hay información limitada disponible para hacer una evaluación de los riesgos asociados.
Las empresas que ofrecen servicios de asistencia digital, como Apple, Google y Amazon, se encuentran entre las más grandes del mundo, e invierten mucho en tecnologías avanzadas diseñadas para mejorar la experiencia del cliente. ¿Pero a qué precio?
Según el defensor de la privacidad Consumer Watchdog, las solicitudes de patentes para un algoritmo permitirían que las futuras versiones de Alexa de Amazon monitoreen las conversaciones y apunten al orador para publicidad en función de lo que se dijo. Eso plantea importantes cuestiones éticas.
A principios de este año, Amazon dio un vistazo a sus prácticas en respuesta a las preguntas de un miembro del Senado de los EE. UU. Amazon confirmó que sus dispositivos habilitados para Alexa almacenan las grabaciones de los usuarios indefinidamente hasta que los clientes eligen eliminarlas. Amazon también explicó que usa transcripciones y grabaciones de conversaciones de clientes con Alexa para ayudar a mejorar las capacidades de reconocimiento de voz del servicio. Y comparte registros de las interacciones de Alexa con proveedores de servicios externos que pueden contactarse a través de Alexa, como Uber o Domino’s Pizza.
Amazon confirmó que Alexa detiene el flujo de información que está recolectando «inmediatamente una vez que el usuario finaliza la conversación o si Alexa detecta silencio o discurso que no está destinado a Alexa».
«Utilizamos los datos del cliente que recopilamos para proporcionar el servicio Alexa y mejorar la experiencia del cliente, y nuestros clientes saben que su información personal está segura con nosotros», según la carta del vicepresidente de política pública de Amazon.
Pero a la luz de la cantidad de infracciones de otras compañías de alto perfil, como Yahoo, Equifax y Capital One, la promesa de seguridad de Amazon no es tranquilizadora.
Sería ingenuo creer que los fabricantes de asistentes digitales son los únicos proveedores de servicios que recopilan y aprovechan los datos de los clientes. Pero un incidente de 2012 proporciona un ejemplo de cuán poderosa puede ser esa información.
Un popular minorista estadounidense fue ampliamente criticado después de que un artículo del New York Times expusiera su práctica de recopilar y analizar historiales de compras de clientes para asignar puntajes de «predicción de embarazo». La investigación de la compañía indicó que las mujeres embarazadas tenían más probabilidades de convertirse en clientes leales si se conquistaban anticipadamente en sus embarazos.
El artículo relata cuán precisos fueron los puntajes de predicción de embarazo. Un padre se enfrentó al gerente de una tienda exigiéndole saber por qué su hija de 16 años estaba recibiendo cupones relacionados con productos para el embarazo, solo para saber más tarde que la adolescente estaba embarazada.
En ese momento, Siri era el único asistente digital en el mercado. Desde entonces, Alexa (Amazon), Alice (Rusia), AliGenie (China), Bixby (Samsung), Clova (Android, iOS), Cortana (Windows), Google Now, Google Assistant y Mycroft (Linux) se han unido a la red. asistente virtual de mercado.
La nueva tecnología basada en datos es una característica permanente en la economía moderna. La auditoría interna debe permanecer informada y alerta sobre cómo estas nuevas herramientas y tecnología afectarán la privacidad, la protección de datos y los riesgos.
Como siempre, espero sus comentarios.
Declaración:
Richard F. Chambers, Presidente y Director General del Instituto Global de Auditores Internos, escribe un blog semanal para InternalAuditor.org sobre temas y tendencias relevantes para la profesión de Auditoría Interna.
Últimos Posts
- Conoce las claves para enfrentar los desafíos de cumplimiento en PLAFT 19 de noviembre de 2024
- Convocatoria abierta para Speakers en el CLAI 2025 30 de octubre de 2024
- Risk in Focus – LATINOAMERICA 2025 16 de octubre de 2024