Amazon entregó por error mil 700 grabaciones y registros de voz y audio de un usuario –recabados por su asistente doméstico Alexa– a otra persona, sin que la empresa le avisara de la violación de sus datos o aceptara su error, reveló una denuncia anónima y posterior investigación hecha a la revista alemana Heise.
En agosto de 2018, un cliente de Amazon le solicitó a la plataforma de ventas en línea todos los registros que tuvieran sobre su información, gracias al nuevo Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Un par de meses después, el usuario recibió un archivo .zip con 100 MB que incluían sus registros de búsquedas, compras y mil 700 grabaciones de Alexa sobre una persona no identificada (dispositivo que el solicitante no tiene). Desconcertado, el usuario alertó a la empresa, sin recibir respuesta alguna; solamente fue borrado el enlace de descarga de los archivos.
El solicitante contó el caso a la revista y entregó las grabaciones a los periodistas. Los registros les permitieron escuchar cuando el afectado iba a la regadera; los comandos de voz que daba a sus dispositivos electrónicos domésticos; cuando usaba Alexa desde casa o en su teléfono móvil, incluso pudieron conocer cuándo se encontraba en casa y cuando, no.
Una de las revelaciones más importantes para los periodistas fue que, con la información que contenían los archivos, lograron eventualmente rastrear a la persona, lo que da cuenta de la relevancia de esta clase de datos que Amazon entregó por “equivocación” y los peligros que implica que estos caigan en las manos equivocadas.
La revista da cuenta que el usuario de Alexa no fue notificado del incidente, ni el denunciante recibió un seguimiento. Solo fueron contactados por Amazon tres días después de que Heise buscó a la empresa para conocer su opinión sobre el caso. Al respecto, Amazon aseguró a la publicación alemana que el asunto estaba resuelto con ambos usuarios y que todo había sido un “error desafortunado”.
La actitud de la empresa no solo plantea serias dudas sobre la seguridad con la que tratan la información que recolectan sobre sus usuarios, sino que además el caso pudo ser una violación a las nuevas regulaciones europeas sobre privacidad, las cuales obligan a las empresas a dar a conocer a las autoridades las fugas de datos en un lapso de 72 horas so pena de altas multas económicas.