¿Son los robots vulnerables? Al igual que ocurrió con el IoT, que despegó con fuerza en una primera generación con poca o nula seguridad, parece que los robots industriales han seguido un camino similar. Así se ha demostrado con el sistema ROS, de los más usados en robots industriales.
Aunque ROS2 sí que cuenta con algo más de seguridad, lo cierto es que prácticamente ningún sistema la usa. ROS salió primero, y se ha hecho hueco en fábricas, cadenas de montaje y envasadoras de todo tipo, así como otros circuitos relacionados. ¿Son poco seguros los robots? ¿Por qué?
El problema de usar como estándar lo primero que sale
ROS (Robot Operating System) es un sistema operativo para robots, preferentemente industriales. Diseñado por la Universidad de Stanford a mediados de los 2000 (los smartphones no existían), ROS se convirtió en el líder indiscutible de los protocolos de comunicación.
El sistema era tan bueno comparado con cualquier cosa existente que su adopción fue masiva. ROS formó un pequeño ecosistema, y empezó a crecer. También lo hizo la industria, que a medida que sacaba nuevos robots instalaba ROS para hacer posible que los últimos pudiesen hablar con los primeros.
El problema es que este y otros sistemas robóticos no fueron diseñados para protegerse de ataques en Internet. En el paper ‘Ciberseguridad en robots autónomos: análisis y evaluación multiplataforma del bastionado ROS’ podemos leer:
“Este sistema se diseñó para uso fundamentalmente investigador y prácticamente no incluye ningún mecanismo de ciberseguridad”.
Es decir, está expuesto y, además, es de los más usados. Es una muy mala combinación de factores.
El sistema operativo más extendido será el más hakeado
Da igual el tipo de dispositivo, mercado o segmento: el sistema operativo más extendido será el más hakeado. Cuantos más usuarios lo usen o más máquinas haya de ese tipo, más ataques va a recibir. Y no porque sea más vulnerable per se, sino porque al tener más usuarios los delincuentes ganarán más si descubren los puntos de explotación o exploits.
Si, encima, lo usan empresas grandes a las que pedir un rescate si se hackean las máquinas, mejor. Y ROS se usa en todo tipo de industria de alta capacidad, como también vemos en otras tecnologías vulnerables según Marc Goodman (‘Delitos del futuro’): RFID, ZigBee, Z-Wave, NFC, etc.
Como puede verse en la web del proyecto, ya lo usa todo Estados Unidos y Europa, así como Japón, Brasil, Turquía, Malasia o Australia, entre otros. Y tiende a perpetuarse y actuar como barrera de entrada.
La tecnología legacy, toda aquella que es considerada antigua, pero con la cual seguimos trabajando, pesa demasiado como para ser ignorada. Si tengo 500 robots con ROS y compro 10 más, ¿trato de buscar un estándar menos vulnerable en el mercado para 510 robots o instalo ROS en los 10 nuevos?
¿Necesitamos un sistema inmune para robots?
La respuesta a esta pregunta, según expertos como Víctor Mayoral (Alias Robotics) u Óscar Lage (Tecnalia), ha generado durante más de una década una industria vulnerable. Porque nadie se preocupa en demasía si todo va bien. El problema es que el volumen de robots ha alcanzado una masa crítica.
Traducción: el esfuerzo de los hackers por encontrar vulnerabilidades ya es rentable en robótica industrial, y también en robótica doméstica, como veremos más abajo. Es el motivo por el que el experto Víctor Mayoral se puso a trabajar hace años y, con ayuda de Fondos Europeos y el Gobierno Vasco, ha logrado desarrollar una suerte de “sistema inmune para robots”.
Llamado RIS (Robot Immune System) pretende convertirse en un estándar para la autodefensa al imitar el sistema inmune que vemos en los animales. El software va evolucionando y aprendiendo. Evolucionando.
¿Por qué los robots domésticos son más vulnerables?
A mediados de 2019 salto la noticia de que un conocido robot de cocina había sido hackeado. No fue el primer electrodoméstico en sufrir este destino. Hace años fue muy conocido el caso de un frigorífico que mandaba spam. El IoT del hogar es tan vulnerable como el IoT industrial.
A diferencia de los industriales, que tienen un mayor seguimiento y una preocupación económica por actualizarlos, el usuario medio suele encender el robot sin más. No presta atención a las vulnerabilidades, las actualizaciones o los sistemas seguros intermedios, como puede ser blindar el router o diseñar una máscara que impida a los hackers ver dentro del hogar.
Y es precisamente aquí donde entra en valor el hackeo de los robots domésticos. Además de datos personales bancarios o de corte similar, muchos de los dispositivos que tenemos en casa incorporan cámaras y micrófonos cuyo registro puede ser usado para chantajear. Tendemos a pensar en robots industriales por un lado y dispositivos domésticos por otro, pero para un hacker no existe una diferencia notable.
¿Qué podría hacerse si un delincuente se hace con una fábrica?
Las películas de ciencia ficción nos han enseñado un futuro en que máquinas construyen sus propias máquinas (‘Yo, robot’, ‘Chappie’). Pero la realidad de un ataque contra unas instalaciones probablemente no acabe en la construcción de robots asesinos. ¿Qué ganarían los atacantes?
Para eso hay que contar con materiales específicos, un diseño factible y adaptado a la maquinaria, tres condiciones prácticamente imposibles de satisfacer por separado. Es decir, si se hackea una línea de ensamblado de coches, pocos robots malignos podrás fabricar en ella. Lo que sí se puede hacer es:
- Sabotear la producción. Por ejemplo, fabricar coches con un defecto.
- Alterar productos. Instalar malware en coches.
- Causar daños físicos. Desplazar el brazo hacia personas a gran velocidad.
- Interferir en la línea de producción. Colocar un robot en medio del proceso, deteniéndolo.
- Filtrar datos sensibles. Robo industrial.
Son las conclusiones del informe ‘Rogue robos: testing the limits of an industrial robot’s security’ de Trend Micro y el Politécnico de Milán. Y son lo suficientemente dañinas como para tenerlas en cuenta. Un brazo hackeado no solo puede robar información durante años sin que nadie se de cuenta, sino convertirse en un arma capaz de crear daños de importancia. Es evidente que necesitamos, y ya, diseñar robots seguros desde el inicio.
Imágenes | iStock/nay, iStock/herraez, iStock/Zmaj88
En Lenovo | Robots que te traen la comida y la cuenta
