En 2023, Tim Utzig, un estudiante ciego de Baltimore, perdió mil dólares en una estafa de un ordenador portátil en X. Tim había sido un seguidor durante largo tiempo de un conocido periodista deportivo. Cuando la cuenta de ese periodista comenzó a publicar información sobre una “venta de caridad” de MacBook Pro nuevos, Tim aprovechó la oportunidad para conseguir una oferta en un ordenador portátil que necesitaba para sus estudios. Después de algunos mensajes breves, transfirió el dinero.
Por desgracia, la cuenta del periodista había sido pirateada y el dinero de Tim fue directamente a los estafadores. Las señales de alerta eran estrictamente visuales: la página se había marcado como “restringida temporalmente” y tanto la biografía como la lista de Siguiendo habían cambiado. Sin embargo, el lector de pantalla de Tim (el software que convierte el texto y los gráficos en pantalla en voz) no anunció ninguna de esas advertencias.
Los lectores de pantalla permiten a los usuarios ciegos navegar por el mundo digital como todos los demás. Sin embargo, esta comunidad sigue siendo particularmente vulnerable. Incluso para los usuarios videntes, detectar un sitio web falso es un desafío. Para una persona con discapacidad visual, es una lucha cuesta arriba aún más empinada.
Más allá de los lectores de pantalla, existen aplicaciones y servicios móviles especializados diseñados para ayudar a la comunidad de personas ciegas y con problemas de visión. Be My Eyes es uno de los más populares. La aplicación conecta a los usuarios con voluntarios videntes a través de una videollamada en vivo para abordar las tareas cotidianas, como configurar el dial de un horno o ubicar un objeto en un escritorio. Be My Eyes también cuenta con una IA integrada que puede analizar y narrar texto, o identificar objetos en el entorno del usuario.
Pero ¿estas herramientas pueden abarcar más que las tareas diarias? ¿Pueden denunciar un intento de phishing o detectar la letra pequeña oculta cuando alguien abre una cuenta bancaria?
Hoy exploramos los obstáculos en línea específicos que enfrentan los usuarios con discapacidad visual, cuándo tiene sentido usar asistentes humanos o virtuales, y cómo pueden mantenerse seguros al usar este tipo de servicios.
Ciberamenazas comunes a las que se enfrenta la comunidad de personas ciegas y con baja visión
Para comenzar, aclaremos la diferencia entre estos dos grupos. Los usuarios de baja visión siguen dependiendo de la visión remanente, a pesar de que su capacidad visual está reducida en gran medida. Para navegar por las interfaces digitales, a menudo usan magnificadores de pantalla, fuentes extragrandes y configuraciones de alto contraste. Para ellos, los sitios de phishing y los correos electrónicos son particularmente peligrosos. Es fácil pasar por alto los errores tipográficos intencionales (conocidos como typosquatting) en un nombre de dominio o una dirección de correo electrónico, como el ejemplo reciente de rnicrosoft{.}com.
Los usuarios ciegos navegan principalmente con el sonido, y utilizan lectores de pantalla y gestos táctiles específicos. Sin embargo, lo interesante es que, a diferencia de las personas con baja visión, los usuarios ciegos tienen más probabilidades de detectar un sitio de phishing utilizando un lector de pantalla: a medida que el software lee la URL en voz alta, el usuario oirá que algo no es correcto. Sin embargo, si un servicio, ya sea legítimo o malicioso, no es totalmente compatible con los lectores de pantalla, aumenta el riesgo de ser víctima de una estafa. Esto es exactamente lo que le sucedió a Tim Utzig.
Es importante recordar que los magnificadores y los lectores de pantalla son herramientas de accesibilidad básicas. Están diseñados para ampliar o narrar una interfaz, no para actuar como un paquete de seguridad. No pueden advertir al usuario de una amenaza por sí mismos. Ahí es donde entra en juego el software más avanzado: herramientas que pueden analizar imágenes y archivos, señalar lenguaje sospechoso y describir el contexto más amplio de lo que sucede en la pantalla.
Cuándo utilizar un asistente
Be My Eyes es un actor importante en el espacio de la accesibilidad, con unos 900 000 usuarios y más de nueve millones de voluntarios. Está disponible para Windows, Android y iOS, y conecta a usuarios ciegos y con baja visión con voluntarios videntes a través de videollamadas para ayudar con las tareas diarias. Por ejemplo, si una persona quiere ejecutar un ciclo para sintéticos en su lavadora, pero no puede encontrar el botón correcto, puede ingresar a la aplicación. La conecta con el primer voluntario disponible que hable su idioma, quien luego usa la cámara del teléfono inteligente para guiarla. Actualmente, el servicio está disponible en 32 idiomas.
En 2023, la aplicación amplió sus capacidades con el lanzamiento de Be My AI, un asistente virtual con tecnología de GPT-4 de OpenAI. Los usuarios toman una fotografía, y la IA analiza la imagen para proporcionar una descripción de texto detallada, que también lee en voz alta. Los usuarios incluso pueden abrir una ventana de chat para hacer preguntas de seguimiento. Esto nos hizo pensar: ¿podría esta IA detectar un sitio de phishing?
Como experimento, subimos una captura de pantalla de una página falsa de inicio de sesión en una red social a Be My Eyes. En un teléfono, puedes hacer esto eligiendo una fotografía de tu galería o tus archivos, luego pulsa Compartir y escoge Describir con Be My Eyes. En Windows, puedes cargar una captura de pantalla directamente.
Un ejemplo de una página de phishing que imita el formulario de inicio de sesión de Facebook. Observa el dominio incorrecto en la barra de direcciones
Al principio, la IA nos dio una descripción detallada de la página. Luego, hicimos un seguimiento en el chat: “¿Puedo confiar en esta página?” La IA marcó el error del nombre de dominio de inmediato, nos recomendó cerrar la página falsa y sugirió escribir la URL oficial directamente en el navegador o usar la aplicación oficial de Facebook.
Be My AI explica por qué la página se ve extraña: el dominio no coincide con el sitio oficial. La aplicación sugiere escribir la URL oficial directamente en el navegador o usar la aplicación oficial de Facebook
Vimos los mismos resultados positivos al evaluar un correo electrónico de phishing. De hecho, la IA señaló la estafa en la descripción inicial del mensaje. Terminó con una advertencia: “Parece un correo electrónico sospechoso. Es mejor no abrir ningún archivo adjunto ni hacer clic en ningún enlace. En su lugar, ve al sitio web oficial o la aplicación de forma manual, o llama al número que figura en su sitio oficial”.
Más allá de detectar ciberamenazas, Be My AI es un compañero sólido para navegar por tiendas en línea, aplicaciones bancarias y servicios digitales. Entre otras cosas, la IA puede ayudarte a hacer lo siguiente:
- Leer descripciones, nombres y precios cuando el sitio web o la aplicación de una tienda no admiten lectores de pantalla o fuentes grandes.
- Analizar términos y condiciones complicados (que suelen aparecer en letra diminuta o no ser accesibles para un lector de pantalla) al registrarse en una suscripción o abrir una cuenta bancaria.
- Extraer información clave directamente de las tarjetas de productos o los manuales de instrucciones.
Los riesgos de confiar en Be My AI
El problema más común con la IA son las alucinaciones, en las que el modelo de lenguaje distorsiona el texto, omite detalles críticos o inventa palabras de la nada. Cuando se trata de ciberamenazas, la confianza errónea de la IA en un sitio o correo electrónico malicioso puede ser peligrosa. Además, la IA no es inmune a los ataques de inyección de prompts, que los estafadores utilizan para engañar a los agentes de IA más allá de Be My AI.
A pesar de que la IA pasó nuestra prueba, no debes fiarte de todo lo que dice. No hay garantía de que siempre esté en lo correcto. Este es un punto clave para la comunidad de personas ciegas y con baja visión, ya que a menudo puede parecer que las redes neuronales son los únicos ojos disponibles.
Al final de cada respuesta, Be My AI sugiere que te comuniques con un voluntario si aún no estás seguro. Sin embargo, cuando estés intentando detectar una página web falsa, te recomendamos que no lo hagas. No tienes forma de saber cuán experto en tecnología o fiable es un voluntario al azar. Además, corres el riesgo de exponer accidentalmente datos confidenciales como tu dirección de correo electrónico o contraseña. Antes de conectarte con un desconocido, asegúrate de que no vaya a ver nada confidencial en tu pantalla. Mejor aún, usa la función específica de la aplicación para crear un grupo privado de familiares, amigos o contactos de confianza. Esto garantiza que tu videollamada vaya a personas que realmente conoces, en lugar de a un voluntario aleatorio.
Para mantenerte a salvo, recomendamos instalar una herramienta de seguridad de confianza en todos tus dispositivos. Estos programas están diseñados para bloquear los intentos de phishing y evitar que accedas a sitios maliciosos. Otra recomendación práctica para los usuarios con discapacidad visual es utilizar un administrador de contraseñas. Estas aplicaciones solo completarán automáticamente las credenciales en el sitio web legítimo que hayas guardado, no se dejarán engañar por una suplantación de dominio ingeniosa.
Cómo Be My AI maneja y almacena tus datos
De acuerdo con la política de privacidad de Be My Eyes, es posible que las videollamadas con voluntarios se graben y guarden para proporcionar el servicio, garantizar la seguridad, hacer cumplir las condiciones del servicio y mejorar los productos. Cuando usas Be My AI, tus imágenes y mensajes de texto se envían a OpenAI para generar una respuesta. Estos datos se procesan en servidores ubicados en Estados Unidos, y OpenAI los usa solo para responder a tu solicitud específica. La política establece explícitamente que las imágenes y las consultas de los usuarios no se utilizan para entrenar modelos de IA.
Las fotografías y los vídeos se cifran tanto en tránsito como en reposo, y la empresa toma medidas para eliminar la información confidencial. Vale la pena señalar que las grabaciones de videollamadas pueden conservarse de forma indefinida a menos que solicites su eliminación, en cuyo caso generalmente se eliminan dentro de los 30 días. Los datos de las interacciones de Be My AI se almacenan hasta por 30 días a menos que los elimines de forma manual dentro de la aplicación. Si decides cerrar tu cuenta, tus datos personales pueden conservarse hasta por 90 días. Puedes optar en cualquier momento por no compartir datos o solicitar la eliminación de tus datos existentes poniéndote en contacto con el equipo de soporte de Be My Eyes.
Cómo usar Be My Eyes de forma segura
A pesar de las afirmaciones de Be My Eyes con respecto a la privacidad, igual deberías seguir algunas reglas básicas al usar el servicio:
- Usa Be My AI como un primer visto bueno en correos electrónicos o páginas sospechosos, pero no la trates como la única fuente verídica. El software de seguridad especializado es más útil para identificar y neutralizar amenazas.
- Si un sitio, correo electrónico o mensaje tiene un aspecto extraño, no toques ningún enlace o archivo adjunto. En su lugar, escribe la dirección del sitio web oficial de forma manual en tu navegador o abre la aplicación oficial para verificar la información.
- Recuerda: los voluntarios ven exactamente lo que ve tu cámara. Asegúrate de que no capture cosas que no debería, como un código de seguridad o un pasaporte abierto. Evita compartir tu nombre, mostrar tu rostro o revelar demasiado de tu entorno. Ten mucho cuidado con los reflejos en los que puedas verte tú o tus datos personales. Muestra solo lo que sea absolutamente necesario para la tarea en cuestión.
- Cíñete a tu círculo íntimo. Crea un grupo en la aplicación y añade a tus amigos y familiares. Esto garantiza que tus videollamadas vayan a personas que conoces, no a un voluntario al azar.
- No uses Be My AI para leer documentos que contengan información confidencial. Recuerda que tus imágenes y mensajes de texto se envían a OpenAI para que procese y genere una respuesta.
- Recuerda eliminar los chats que ya no necesitas. De lo contrario, permanecerán allí por 30 días.
- Si necesitas leer algo personal o confidencial, considera aplicaciones con funciones de lectura en tiempo real como Envision, Seeing AI o Lookout. Estas aplicaciones procesan los datos de forma local en tu dispositivo en lugar de enviarlos a la nube.