“Es uno de los eventos de ciberseguridad, por no decir el evento, del año”. Endika Gil-Uriarte, CEO de Alias Robotics, habla de Black Hat USA, que este año -entre el 31 de julio y el 5 de agosto- celebra su 24ª edición y que llevará hasta Las Vegas (EEUU) a esta innovadora firma vitoriana. Descubriendo prácticas de obsolescencia programada en robótica y lo que esto significa para la ciberseguridad es el título de la presentación que Víctor Mayoral-Vilches, fundador de la firma alavesa, y Federico Maggi, de Trend Micro, ofrecerán el 5 de agosto en Black Hat, sobre la base de un estudio elaborado también con la colaboración de la Alpen-Adria-Universität Klagenfur.

¿Qué supone para Alias Robotics estar en un evento de la relevancia de Black Hat USA?

-Es un hito muy relevante, es uno de los eventos de ciberseguridad, por no decir el evento, del año. Enseñamos parte de nuestra investigación, con los partners adecuados, de la mano de Alpen-Adria Universität Klagenfurt y Trend Micro, que auspician esta colaboración de una forma muy natural. Trend Micro como líder en ciberseguridad desde hace varias décadas y Alias Robotics como pionera en este nicho de ciberseguridad para robots, desde Álava pero queriendo hacer las cosas también grandes y queriendo crecer hacia el globo.

Aunque el concepto de obsolescencia programada es conocido, quizá no imaginamos que tenga su impacto en la ciberseguridad aplicada a la robótica.

-Nosotros vamos a presentar en el congreso Black Hat USA una metodología de investigación en ciberseguridad en sistemas robóticos. Esta metodología, que hemos denominado Teardown, versa básicamente sobre el desmontaje exhaustivo y la investigación por componentes de estos sistemas robóticos. Y nos hemos fijado que este Teardown, este despiece digamos de los robots, lo que hace es acelerar sustancialmente el proceso de la investigación en ciberseguridad y, como tal, contribuye a descubrir un número relevante de vulnerabilidades presentes en este tipo de sistemas robóticos. En particular, en este estudio hemos encontrado cien vulnerabilidades, de las cuales 17 son nuevas especies. Conectando con la obsolescencia programada, nos hemos encontrado que diferentes fabricantes de robots lo que hacen es apalancarse en este tipo de prácticas para generar vías adicionales de negocio, para forzarnos a comprar la siguiente generación del robot, imposibilitando que el usuario tenga ese poder de reparación. Es una práctica que ya conocíamos en otros dominios tecnológicos, pero hemos demostrado que también está presente en el mundo de la robótica, en particular en la robótica industrial y de servicios.

Entonces, esas prácticas de obsolescencia programada ¿están implicando también que las nuevas generaciones de robots ‘heredan’ vulnerabilidades de ciberseguridad de versiones anteriores?

-El fabricante lo que debería es ir mitigando esas vulnerabilidades en un tiempo razonable, y no se está produciendo. Además, el uso de este tipo de prácticas lo que hace es dificultar que la industria de la robótica tenga una buena situación de ciberseguridad, complica las cosas. Nosotros, a lo que animamos con este tipo de estudios es a que los fabricantes que todavía están un poco inmaduros en este aspecto tomen una posición que sea sostenible en el tiempo, que sea garante de que sus productos van a ser seguros para el usuario final.

¿Qué puede suponer para una empresa que uno o varios de sus robots sufra un ataque?

-Al final es comprometer la viabilidad del negocio. La tipología de los ataques depende de la creatividad y la maliciosidad del atacante. Este atacante busca muchas veces directamente parar la actividad de la empresa, otras veces introducir microdefectos y pedir rescate y otras veces, simplemente, puede buscar generar caos. Incluso, en el peor de los escenarios, puede intentar causar daños físicos, que un robot pueda dañar a su entorno, a sí mismo o en el peor de los escenarios dañar a las personas que trabajan con él. En este estudio nos hemos centrado en dos tipologías de robots. Una es la que llamamos robots colaborativos, que son brazos industriales diseñados para colaborar con operarios; en el segundo caso, hemos trabajado con AMR, plataformas robóticas móviles, que son robots que se trasladan libres sobre el suelo y tienen cierto grado de inteligencia, de modo que si observan un obstáculo pueden llegar a pararse. Nuestra investigación muestra que estos sistemas de seguridad física que evitan que el robot colisione con nosotros pueden ser manipulados por un atacante.

¿Aprecian que haya evolucionado la sensibilidad, tanto de usuarios como de fabricantes, hacia la importancia de atender la ciberseguridad del robot industrial?

-Estamos observando esa transición. Es un nicho de negocio y tecnológico muy complejo y las empresas se encuentran en diferentes estadios. En la parte de los manufacturadores sí que vemos que ciertos agentes y entidades se están posicionando y están dando los primeros pasos. En la parte del usuario de robótica industrial, se están posicionando de una manera gradual, de tal modo que le permite tener un horizonte en el cual ya ha descubierto que estos sistemas que utiliza tiene una situación de ciberseguridad manifiestamente mejorable y le permite dar los primeros pasos. Al final, el usuario final tiene muy presente el coste de la parada de su cadena de producción. Es un asset crítico en la manufactura y es un asset que estamos demostrando desde hace tiempo que está desprotegido, hay que tomar acciones antes de que los atacantes lo hagan.

Ante estos problemas, ¿qué servicios ofrece Alias Robotics a la empresa?

-Nos gusta concebir la ciberseguridad como un proceso y apoyamos todo ese proceso: una primera parte de descubrimiento, donde conoces un poco cuál es tu situación; una segunda parte en la que ya la evalúas, y ahí conecto un poco con nuestro servicio de evaluación de ciberseguridad de sistemas robóticos y de entornos de producción, y una tercera parte en la que ya accionas ciertas medidas, que puede ser a través de nuestro antivirus Robot Immune System (RIS) o de otras medidas que tienen que ver con el compliance, con estándares industriales, y otro tipo de medidas. Es un proceso que ha de ser iterado constantemente, no vale con posicionarse una vez y luego dejarlo.

Los ataques también evolucionan y se perfeccionan...

-La evaluación de ciberseguridad es algo que nunca acaba y que ha de estar actualizándose constantemente. La ciberseguridad ha de concebirse como un proceso dinámico, nunca estático.