Voice Hacking, ¿que es? -Y de paso, te cuento alguna cosilla mas…

¡Al abordaje del Voice Hacking! El arte perdido que los youtubers nunca entenderán

Cuando veo a los Instagramers, Tiktokers y los YouTubers (y demás seres similares en las RRSS) hablando de Voice Hacking (y otras cosas en general de hack), lo hacen como si estuvieran leyendo una lista de compras en voz alta. Yo lo flipo, leen las cosas, pero se ve a lo lejos que no tienen ni idea de lo que estan diciendo, como si fueran un loro, repitiendo lo que les enseña su dueño. Un poco de «AI Deepfake por aquí», una pizca de «comandos ultrasónicos y te quemo el modem» por allá, y listo, ya tienes tu video para monetizar. Pero yo, un hacker retirado al que nunca pillaron (sic) que sabe cómo funciona de verdad este juego, estoy aquí para dejar las cosas claras y como se puede ver, no monetizo ningun video, ni esta web tiene un pu…. banner… creo que esa tendria que ser una razon de peso para valorar mas o menos lo que estas leyendo. ¿Qué es el Voice Hacking? El Voice Hacking es el arte (porque sí, esto es un arte) de explotar las vulnerabilidades en sistemas de reconocimiento de voz. Esto incluye lo mas basico como los asistentes virtuales Alexa, Siri o Google Assistant, pero también sistemas de autenticación por voz que bancos y empresas usan creyendo que son seguros. Spoiler: no lo son. Si quisieras jugar en las grandes ligas, aquí tienes algunas técnicas explicadas para que hasta un neófito pueda entender:

1. Comandos Ultrasónicos: Una joya del hacking, creo que el hackeo por excelencia y que dio pie a lo que conocemos hoy como movimiento hacker. Se trata de emitir comandos en frecuencias inaudibles para los humanos, pero perfectamente claras para dispositivos. Una señal de ultrasonido puede decirle a tu altavoz inteligente o a una centralita telefonica antigua (es decir analogica) que desbloquee «algo» como una puerta, mientras tú disfrutas de tu café matutino sin sospechar nada. Este método tiene raíces en historias clásicas del hacking, como las Bluebox, unas cajas que manipulaban las líneas telefónicas para realizar llamadas gratis. El sistema lo descubrieron unos informaticos ciegos, cuya agudeza auditiva les permitió identificar tonos específicos que los videntes no podemos. ¿Te imaginas a Daredevil, pero en plan hacker? Pues algo así. Pero en este tema hay algunos viejos conocidos: Steve Wozniak, cofundador de Apple (el Friki), quien creó el hardware para hacer el sistema portátil. Las primeras pruebas se realizaban con ordenadores y módems gigantes, como en las películas como «Juegos de Guerra», pero obviamente no servía para hacer «gamberradas» en la vida real. Aunque podías hacer llamadas, el número del teléfono llamante quedaba identificado y como los cargos por las llamadas eran bestiales, pues… no se quedaban quietos los de la Timofonica.com local.., así que la solución era usar cabinas telefónicas. Estamos hablando de los años 70.

En este grupo también estaba un joven vendedor, Steve Jobs (¿os suena?), y el legendario hacker conocido como Capitán Crunch. Este último descubrió -bueno, se lo dijeron los ciegos antes dichos- que si podias  emitir un tono con una frecuencia específica de 2600 Hz, pasaban cositas con las centrales telefonicas. Esta frecuencia era exactamente la que las centralitas telefónicas de AT&T de la epoca, reconocían como una señal para liberar la línea y obtener el tono internacional de llamada. Una vez conseguido, podías marcar cualquier número en el mundo, y la llamada era gratuita. Dicen las malas lenguas que una de las primeras pruebas internacionales que hicieron fue llamar al Papa Pablo VI (decian que habian conseguido su numero directo personal, lo equivalente al telefono rojo nuclear, pero quien esta al otro lado es Diox), quien ocupaba el cargo de pontífice entre 1963 y 1978. La historia cuenta que utilizaron una Bluebox para contactar con la centralita del Vaticano. Aunque no parece ser cierto que hablasen directamente con el Papa —ya que en los años 70 los teléfonos supletorios no eran comunes y eran las 3am en Italia—, todo apunta a que el objetivo era probar los límites del sistema internacional de llamadas. Al emitir la frecuencia de 2600 Hz, lograron engañar a las centralitas telefónicas de AT&T, obteniendo acceso al tono internacional que les permitió hacer llamadas gratuitas, y cuando ya habian hackeado la centralita, no sabian a quien llamar… asi que llamaron al Vaticano. Recordemos que eran niños y que Internet todavia no existia como la conocemos hoy, con lo que no tenian muchos conocimientos de a quien llamar en otro pais. Asi que el mito dice que una de estas llamadas. fue esta famosa prueba al Vaticano. Ingenioso y revolucionario para su época. Todo esto funcionaba gracias a un fallo en el sistema de señalización telefónica que, en lugar de autenticar correctamente las conexiones, confiaba en esos tonos como autorización. Ingenioso y revolucionario para su época.

Yo personalmente, en Eh!paña unos años mas tarde, usaba otro sistema, que era conectarme al «par 26», la linea de pruebas en cada caja de telefonos de cobre en comunidades de vecinos. Tenian 25 pares activos y uno para pruebas, el «par 26». Conectabas alli un supletorio de esos de plastico que valian 400 pelas, y halas a llamar… en ese tiempo las llamadas locales se pagaban a razon de unas 100 ptas. la hora (0,61€). Solo servia para hacer llamadas locales. En Barcelona podias usar siete numeros que empezaran por 0,1,2,3 o 4 (en esos tiempos, no habia que poner el codigo de area nacional). Tampoco existia «un numero de Internet», pero lo que si existia era un invento, llamado Ibertex que era incluso mucho mas caro. Podias llamar desde el 030 (el mas barato, como una llamada local), al 039 (que seria lo equivalente a un 807 actual), necesitabas una terminal especial que funcionaba a la increble velocidad de 1200 baudios de bajada y 75 de subida por segundo. Para ponerlo en contexto, eso es una velocidad ridícula en comparación con las actuales conexiones de fibra óptica que ofrecen velocidades de hasta 1 Gbps (1.000.000 de baudios por segundo) tanto de bajada como de subida. En esos tiempos, lo que hoy podría descargar en menos de un segundo, tardaba minutos, e incluso horas, con aquellas líneas telefónicas primitivas. Pero claro, para la época, era un avance que rozaba la magia. En fin, me pongo nostalgico, cuando recuerdo como llamabamos al *AAA# que valia la burrada de 25 ptas. el minuto, para ligar. Y si, habia gente en esas redes, pero era gente que conectaba desde el trabajo…. en finzzzz….!!!! (lagrimita).

2. Suplantación por Voz: Esto es como tener un loro avanzado, pero que sabe cantar exactamente lo que necesitas. El proceso es sencillo para cualquier hacker de parvulario: primero recopilas suficiente material de tu víctima (gracias, redes sociales, por tantas grabaciones y mensajes de voz), luego usas herramientas de inteligencia artificial para replicar su voz al detalle. Imagina pedirle a una máquina que hable como la persona exacta que quieres suplantar, y lo hace. Con esta voz clónica, puedes engañar a sistemas de seguridad que creen estar interactuando con la persona real. El resultado: puedes autorizar transferencias bancarias, desbloquear cuentas o ejecutar cualquier comando que dependa de la voz. Lo realmente preocupante es que este tipo de suplantación no necesita un equipo caro ni conocimientos profundos, solo algo de tiempo y creatividad. Y, por supuesto, el descuido de tu «víctima» al exponer su voz.

El procedimiento es sencillo y cualquiera puede hacerlo con las herramientas adecuadas. Primero, consigues un video o reel de la víctima que tenga al menos 15 segundos de su voz clara y sin ruido de fondo. Si no lo encuentras limpio, puedes usar herramientas como Adobe Podcast para eliminar el ruido. Luego, utilizas un motor de clonación de voz —hay cientos de opciones disponibles, incluso gratuitas— para replicar la voz de la persona. Generas los audios de las frases más comunes y las asignas a teclas en un teclado separado, de esos que tiene 10 o 12 teclas nada mas… no necesitas mas frases.

Cuando hablas con alguien o con otra máquina, basta con escuchar la pregunta y pulsar la tecla correspondiente al corte que necesitas. Por ejemplo, si alguien pregunta «¿Quién está ahí?», pulsas la tecla que reproduce «Soy yo, [nombre de la víctima]».

Sin embargo, ese es el sistema básico. El método más avanzado usa herramientas como ChatGPT o motores de IA similares para generar respuestas en tiempo real. Estas respuestas se convierten directamente en audio clonado de la voz de la víctima, permitiendo mantener una conversación fluida y completamente automatizada. Es como esas centralitas de atención al cliente que “hablan contigo”, pero llevado al siguiente nivel. Así que hasta aqui puedo leer…. ya te he dado suficientes pistas.

2. Ataques Directos a IoT: Muchos dispositivos IoT (los cacharros inteligentes que tienes en casa) responden a comandos de voz con sistemas de seguridad alarmantemente deficientes. Por ejemplo, asistentes virtuales como Alexa, Siri o Google Assistant suelen aceptar comandos de cualquier persona que conozca la frase de activación, incluso cuando está habilitado el reconocimiento de voz. Aunque te prometan que pueden identificar a los usuarios autorizados, la realidad es que su nivel de verificación es tan bajo que resulta fácil engañarlos. Con una grabación o simplemente imitando la voz del propietario, cualquiera podría activar estos dispositivos y ejecutar comandos como abrir puertas, realizar compras o acceder a información sensible. Esto convierte a estos dispositivos en objetivos fáciles para cualquiera con un mínimo conocimiento de hacking y herramientas accesibles. Las prueba es bien conocida, y a mas de uno le habra pasado… algunas veces en los anuncios de television, se veian ejemplos de «Alexa has esto, o Alexa haz lo otro»… a que se activaba vuestro Alexa???Luego hay cosas mas avanzadas, como conectarse a Camaras de Seguridad, abrir puertas de garage, encender coches y demas, y que son facilisimos de localizar y usar. Para esas cosas se usa Flipper Zero (cuya URL es https://flipperzero.one) y permite hasta copiar llaves, como se puede ver en este post mio de Insta https://www.instagram.com/p/DExxhT7uHi5/ El precio es sobre los 50€ y lo puedes comprar en cualquier sitio… luego tienes que saber usarlo. Youtubers-Newbiez-hablando-sobre-hack, ya os avanzo que no teneis las suficientes neuronas para saber usarlos… y mira que son simples…

  ¿Y los youtubers? Los «youtubers de seguridad» son, sin duda, una de las mayores farsas de internet. No tienen ni la más mínima idea de lo que están hablando, pero eso no les impide subirse al tren del clickbait y la desinformación. Su modus operandi es siempre el mismo: cogen artículos de blogs (como este, por ejemplo), los reescriben -bueno, eso es un decir- de forma lamentable, sin entender ni la mitad de lo que están copiando, y luego les ponen títulos absurdos y sensacionalistas para atraer a su audiencia. ¿El resultado? Videos llenos de tonterías, donde hablan de temas como ataques ultrasónicos con la misma seriedad que si estuvieran explicando un hechizo de Harry Potter. Y, por supuesto, siempre terminan con «consejos» tan brillantes como «no usar Alexa» como si eso fuera la solución mágica a todos los problemas de seguridad. ¡Vaya genios, de verdad! Lo más increíble de todo esto es que tienen cientos de miles de seguidores, lo que automáticamente convierte todo lo que dicen en basura depreciada. Porque, claro, si tanta gente los sigue, debe ser porque saben de lo que hablan, ¿no? -piensa la otra gente que no los conoce- Pues no. Lo único que hacen es perpetuar la ignorancia y la desinformación, mientras se llenan los bolsillos con visitas y patrocinios. Pero lo que realmente me deja alucinado es cómo su audiencia no se da cuenta de lo ridículo que es todo esto. A ver, almas de cántaro, si una vulnerabilidad ya ha sido publicada y tú la ves en YouTube, ¿qué te hace pensar que el desarrollador responsable no la va a ver también? ¿De verdad crees que el mundo de la ciberseguridad funciona como un club «secreto» donde solo los «elegidos» tienen acceso a la información? Pues no, amigos, así no es como funciona. En cuanto una vulnerabilidad se hace pública, los desarrolladores están ya trabajando en una contramedida. Pero claro, eso no lo dicen los youtubers, porque no les interesa que su «contenido» pierda el poco impacto que tiene. Y luego están los casos que rozan lo surrealista, como el de ese tal «Lord Draugh», que tiene un millón de seguidores y se dedica a soltar barbaridades como si fueran verdades absolutas. Este personaje, en uno de sus videos, dice que va a comprar un sistema de seguridad iraní por Internet, y para rematar la faena, saca una tarjeta de La Caixa para mostrar cómo va a pagar. ¿En serio? ¿Más tonto no se puede ser? Es que ni hecho a propósito. Ya sabemos que los Gossos de la Cuadra no son precisamente el cuerpo de purricia de los más brillantes, pero localizar un paquete que proviene de Irán no es precisamente una misión imposible, es mas creo que hasta Correos o la mensajeria se «chiva». No es que lleguen muchos a Eh!pañistan cada día, así que no hace falta ser un genio para rastrear algo así. Luego, basta con filtrar con el punto neutro judicial (ese sistema de los corruptos ju-heces que esta conectado a todas las bases de datos y tus cuentas bancarias, las mias no, logicamente…) las operaciones de cierto coste pagadas a Irán y, si encima has tenido la brillante idea de pagar con un banco «nazional», ¡tachán! Te regalan unas pulseras preciosas con cadenita… y vienen en pares, para que no te sientas solo. En resumen, estos youtubers no solo son un insulto a la inteligencia, sino que además son un peligro para quienes los toman en serio. No aportan nada útil, solo ruido, desinformación y un espectáculo patético de ignorancia disfrazada de conocimiento. Pero claro, mientras sigan teniendo seguidores que les aplaudan las tonterías, ellos seguirán ahí, vendiendo humo, riéndose de todos y llenandose los bolsillo.Un hacker de verdad no solo sabe replicar estos ataques, sino que puede improvisarlos. Por ejemplo:

• Hackear un asistente virtual en un hotel: Una noche aburrida, un comando bien ejecutado, y tenía a Alexa pidiendo champán a la recepción.
• Vulnerar un sistema bancario: Cómo no, usando una grabación editada en tiempo real.

Protección contra Voice Hacking Si quieres protegerte (porque en el fondo sabemos que Alexa es tu compañera de piso, solo le falta ser «Alemanita»), aquí van algunos consejos de alguien que podría estar usando esto en tu contra:

1. Desactiva las funciones de reconocimiento de voz para comandos sensibles. Si un asistente puede transferir dinero o hacer compras en Amazon con un «oye, hazlo», no es un asistente, es un cabronazo, por muy bonita que tenga la voz.
2. Mantén tu dispositivo actualizado. Sí, suena básico, pero las actualizaciones suelen tapar algunos agujeros que otros como yo explotarían. Esto es especialmente importante con los smartphones, esos pequeños ordenadores de bolsillo que llevas a todas partes. Los móviles son un objetivo principal porque los usamos para todo: pagar, enviar mensajes, guardar datos personales y acceder a nuestras cuentas bancarias. Sin las actualizaciones de seguridad, cualquier vulnerabilidad puede convertirse en una puerta abierta para los atacantes, desde instalar malware hasta interceptar tus contraseñas o activar tu micrófono sin que lo sepas. No actualizar tu móvil es como dejar las llaves de tu casa en la cerradura: tarde o temprano alguien entrará. Los smartphones, en particular, son un blanco fácil debido a varias vulnerabilidades bien conocidas:

• • Bluetooth abierto: Muchos usuarios dejan activado el Bluetooth todo el tiempo, y algunos incluso desactivan la clave de emparejamiento, facilitando que cualquiera en las proximidades pueda conectarse a su dispositivo y, potencialmente, acceder a datos personales o instalar malware.
  • Wi-Fi en lugares públicos: Conectarse a puntos Wi-Fi abiertos en cafeterías, aeropuertos o centros comerciales es un clásico error. Estos puntos suelen ser trampas creadas por atacantes (que suelen estar cerca de ti con un ordenador Linux esperando pacientemente), y si decides conectarte al banco o a cualquier servicio sensible mientras estás conectado, estás entregando tus credenciales en bandeja de plata.
  • Instalación de apps sospechosas: Muchas veces, los usuarios descargan aplicaciones fuera de las tiendas oficiales, lo cual es un error garrafal. Si no entiendes bastante de estas cosas, te aconsejo que no lo hagas. Por ejemplo, si yo necesito probar una aplicación para móvil, primero la instalo en un entorno seguro, como un emulador de Android en un ordenador, o en una máquina virtual limpia. Si es algo realmente necesario, también utilizo herramientas como Sandboxie+ para aislarla por completo y, por supuesto, un buen firewall. No es lógico que un programa gestor de fotografías necesite conectarse a Internet para nada, ¿no? Sin estas precauciones, puedes acabar instalando apps que contengan malware, poniendo en riesgo tu información personal y dejando una puerta abierta para que te espíen o te roben.

Actualizar tu dispositivo y ser consciente de estas amenazas son pasos esenciales para evitar caer en estas trampas. En fin, evita exponer tu voz innecesariamente, porque los hackers siempre están al acecho.

3. Evita exponer tu voz innecesariamente. No hables con dispositivos en espacios públicos ni grabes notas de voz donde otros puedan escucharlas. Si ya sé que este consejo es paranoia nivel Diox… pero me tendréis que perdonar. A veces, el exceso de precaución es la diferencia entre la seguridad y un desastre anunciado. Mejor paranoico que hackeado, ¿no? Recordad siempre la frase de Andy Grove, co-fundador de Intel «Solo los paranoicos sobrevivien». Este señor murio en 2016, pero no hay registros de que Intel o sus negocios se vieran comprometidos mientras el los dirigia.
4. Y por ultimo el mejor nivel de seguridad que hay, es tener una clave de seguridad con tu hablante…. pero esto ya es de caracter basico. Si alguien que dice te conoce te pide dinero por un chat o email donde no le oyes la voz, hazle una pregunta que solo sabeis tu y quien te comunica, y veras que «misteriosamente» se corta la comunicacion y si no se corta, la respuesta sera erronea. Con eso atajas el 100% de los ataques de Voice Hacking. Conozco gente que ha caído en timos clásicos como el del familiar retenido en el aeropuerto que te pide dinero, o el de la clonación de SIM -muy popular en Mexico- para acceder a tu WhatsApp y pedirles dinero porque estan en un problema, o el ultimo que vi muy curioso, el del famoso estafador ese de los burpees, diciendo en tono imperativo que se le ha roto el coche y que le mandes 800€ por Bizum (hay que ser del genero bobo para usar ese sistema de pago, que ademas de inseguro, esta totalmente monitorizado por Hacienda). Pero esto no acaba aquí. Están los famosos engaños del «técnico de Microsoft» que te llama diciendo que tu ordenador tiene un problema y necesita instalar software como TeamViewer, dándoles acceso remoto a todo tu sistema. También está el de los puntos Wi-Fi abiertos en lugares públicos, donde los atacantes capturan tus datos mientras, ingenuamente, te conectas al banco o a tus cuentas privadas. Y no olvidemos los correos de phishing que imitan a tu banco o empresa de paquetería para robarte credenciales te dicen que tienen un paquete para ti y que les des los datos -no se suponen que ya los tienen?- y algunos hasta te hacen pagar 1 o 2€ para gestiones y lo que en realidad estan haciendo es que les metas la tarjeta en su formulario. Aunque parezca ilógico que alguien caiga en estas trampas, la realidad es que funcionan, y si no, los ciberdelincuentes no seguirían usándolas.

  En resumen, el Voice Hacking no es solo un «truquito de internet». Es un campo donde la creatividad, la paciencia y la técnica se cruzan para dejar en evidencia lo frágil que puede ser nuestra tecnología. No es magia, ni ciencia ficción, es una realidad que requiere entender cómo funcionan las cosas para protegernos de quienes también saben hacerlo. Mientras los youtubers intentan venderte humo con tutoriales reciclados y consejos mediocres, los verdaderos lobos del ciberocéano navegan en aguas profundas, donde un influencer de esos, no se atreve ni a mirar…. Se exploran sistemas, se prueban vulnerabilidades y, sobre todo, sabiendo que esto no es un juego. Aquellos que confían ciegamente en su «Alexa», que conectan a Wi-Fi públicos sin precaución, o que creen que un influencer sabe más que un profesional del gremio, están abriendo la puerta al desastre. La próxima vez que alguien te cuente un «truco de seguridad» con cara de influencer, pregúntale si sabe replicarlo, si entiende realmente lo que dice o si solo repite como un loro lo que leyó en otro lugar. La diferencia entre ellos y alguien que realmente entiende el tema es clara: nosotros no solo hablamos de seguridad, la vivimos, la diseccionamos y la comprendemos. Si no están a tu nivel de escepticismo, diles que lean este artículo. Aunque, siendo honestos, dudo que lo entiendan. @Angeloso69 , ayudado por las IAs que todos sabeis…. COMENTARIO JOCOSO DEL ANGELOSO: Un articulo escrito con IA, no es un articulo que se ha escrito solo. Es un articulo que se ha escrito mejor… o pensais que yo sabia cuando y como se murio Andy Grove? ChatGPT es tonto, solo es una gran base de gatos (datagram) que tiene archivados billones de parametros. Cuando le preguntas en lenguaje natural cualquier cosa, va a esa base de «gatos» y te escupe lo que tiene almacenado. Luego el darle sentido al articulo, sigue siendo cosa tuya. Para hacer un articulo asi sin IA habria tardado de seis a ocho horas, con este sistema, he tardado menos de dos, y ha quedado mejor. La IA no quita trabajos, la IA ayuda que los trabajos se hagan perfectos. Si estos articulos engañan a Yoast SEO y me lanza piropos que escribo muy bien, juajuajuajua!!!!!