Un investigador descubrió que conversaciones entre clientes y el asistente telefónico de IA de Sears Home Services quedaron disponibles públicamente en varios repositorios sin las protecciones mínimas. Sí, los datos eran reales, de personas reales, y accesibles en la web.

Qué se filtró

Jeremiah Fowler, investigador de seguridad en Black Hills Information Security, halló tres bases de datos públicas que contenían una gran cantidad de registros relacionados con el sistema de atención de Sears Home Services. Entre los datos había:

  • 3,7 millones de registros de chat.
  • 1,4 millones de archivos de audio y transcripciones en texto plano.
  • Conversaciones en inglés y en español.
  • Registros que incluían nombres, números de teléfono, direcciones de domicilio, detalles sobre electrodomésticos y citas de entrega o reparación.
  • Un archivo CSV con 54.359 chats completos.

Los chats mostraban que el asistente se presentaba como Samantha, un agente de voz virtual de IA para Sears Home Services, y también mencionaban la tecnología de IA llamada kAIros.

Por qué esto es especialmente preocupante

Fowler subraya dos problemas principales. Primero, los datos filtrados son material perfecto para intentos de fraude y phishing, porque permiten a un atacante conocer información personal y detalles sobre electrodomésticos y reparaciones que facilitan la creación de engaños creíbles.

Segundo, muchos archivos de audio continuaron grabando durante periodos muy largos después de que la interacción principal había terminado. Algunas grabaciones duraban hasta cuatro horas. Esas grabaciones capturaron audio ambiente, como la televisión y conversaciones privadas, que los clientes probablemente pensaban que no se estaban registrando.

Ejemplos de lo que se escuchó

  • Conversaciones donde se advierte audio de televisión y charlas familiares de fondo.
  • Casos en que el cliente pide hablar con un agente humano y el bot insiste en que puede resolverlo, solo para fallar minutos después y transferir la llamada.
  • Transcripciones que muestran frustración prolongada, por ejemplo un usuario repitiendo 28 veces la misma pregunta.

Respuesta de Sears y plazos

Tras el hallazgo a comienzos de febrero, Fowler contactó a Transformco, la empresa propietaria de Sears y Sears Home Services. Las bases de datos fueron protegidas después del aviso, según Fowler. No está claro cuánto tiempo estuvieron accesibles ni si otras personas accedieron a esos datos antes de que se tomara acción.

Transformco no ofreció respuesta pública a las solicitudes de información relacionadas con esta exposición.

Qué dicen los expertos y qué debería hacerse

Fowler insiste en que las empresas que usan IA no deben ahorrar en medidas básicas de seguridad. Como mínimo, los archivos sensibles deberían estar cifrados y protegidos con contraseña. Dejar millones de registros sin protección es una negligencia evitable.

Carissa Véliz, investigadora en la Universidad de Oxford, añade que las compañías deberían dar opciones claras a sus clientes, por ejemplo la posibilidad de hablar con una persona si lo prefieren y la opción de no grabar la conversación. Según Véliz, el objetivo debe ser que los clientes se sientan seguros y no vulnerables.

Contexto más amplio

El caso llega en un momento en que muchas empresas están incorporando soluciones de IA para ahorrar costes y automatizar atención al cliente. A la vez, estas implementaciones generan riesgos de privacidad y reputación si no se gestionan con cuidado.

Sears Home Services se presenta como el mayor proveedor de reparaciones de electrodomésticos en Estados Unidos, con más de siete millones de reparaciones al año. La combinación de volumen de llamadas y tecnologías de IA hace que la protección de datos sea especialmente crítica en este tipo de servicios.

En resumen: personas reales tuvieron sus conversaciones y su vida cotidiana grabadas y expuestas. Las lecciones son claras, y no técnicas: proteger datos sensibles debe ser prioritario antes de lanzar sistemas que recopilan información privada.