La estrategia de diversificación de Amazon pasa directamente por entrar en el hogar de sus clientes. Literalmente. Allá de por el mes de octubre la compañía lanzó en Estados Unidos un nuevo servicio llamado Key gracias al cual sus mensajeros pueden abrir la puerta de una vivienda para dejar un paquete en el interior en lugar de abandonarlo en el patio. Su seguridad para prevenir robos no tardó ni un mes en ser quebrantada, demostrando que un mensajero podía colarse sin que se percatara el cliente. Ahora, un investigador ha encontrado una nueva vulnerabilidad gracias a la cual terceras personas pueden acceder a la vivienda sin la participación voluntaria de un empleado de Amazon.
El método, desvelado en Twitter por un experto en seguridad simplemente conocido como MG, utiliza alguna clase de dispositivo externo que se oculta en las proximidades de la puerta. El funcionamiento concreto es todavía un misterio, puesto que MG ha querido mantener la técnica en secreto hasta que Amazon publique un parche para resolver la vulnerabilidad, pero en el vídeo publicado demuestra que es posible abrir puertas supuestamente cerradas por el mensajero.
El funcionamiento de Amazon Key es sencillo. Un repartidor de Amazon utiliza su smartphone para abrir la puerta enviando una señal que se comunica con una cerradura inteligente aprobada y una cámara en la nube Cloud Cam. A continuación deposita el paquete, activa de nuevo la cerradura y se marcha. De alguna forma, el dispositivo utilizado por MG intercepta la señal de cierre de forma que la puerta se puede abrir con girar la manilla.
Inicialmente Amazon trató de desacreditar el método de MG alegando que la demostración no mostraba una entrega real, puesto que sus mensajeros tienen instrucciones para comprobar que el cierre de la puerta vuelve a activarse antes de abandonar la dirección de entrega. Ahora se muestra más receptiva. MG señala que Amazon y el fabricante de las cerraduras se han puesto en contacto con él para poder parchear el software, algo que debería realizarse en cuestión de días.
Según ha señalado Amazon a TechRadar, "el repartidor debe completar todos los pasos de la entrega en el domicilio en su dispositivo de mano antes de pasar a la siguiente entrega, incluyendo la comprobación física de la cerradura para asegurarse de que la puerta está asegurada. Durante la entrega, el cliente puede comprobar el tiempo durante el cual la puerta ha estado abierta y Amazon recibe una alerta si el cierre está desactivado durante más de varios minutos. En el caso extremadamente raro de que Amazon no pueda cerrar la puerta después de una entrega, llamamos inmediatamente al cliente".
Si bien todo apunta a que esta situación será resuelta satisfactoriamente antes de que se produzca un percance mayor, la noticia vuelve a poner de relevancia la discutible seguridad de los dispositivos que forman el Internet de las cosas, así como los riesgos que puede entrañar para los usuarios.
