Dos argentinos revelan que los robots también se pueden hackear

El escenario digital es bastante siniestro a causa de los niveles de inseguridad que exponen computadoras, móviles y los dispositivos de la Internet de las Cosas (IoT) . Pero, por lo menos, esos equipos no pueden moverse por sí mismos. Nada más imaginen que los robots pudieran hackearse con la misma facilidad que una notebook.

Por desgracia, los robots no escapan a la ley de hierro de los tiempos. César Cerrudo (@cesarcer) y Lucas Apa (@lucasapa) trabajan para IOActive –una consultora de seguridad informática fundada en 1998 en Seattle, Estados Unidos, y con presencia en Londres, Madrid, Abu Dhabi, Hong Kong, Johannesburg y Buenos Aires– y acaban de descubrir que los robots también son vulnerables a ataques informáticos.

A Cerrudo, Director de Tecnología de la compañía, se le ocurrió investigar el tema y, junto con Apa, Consultor Senior en Seguridad de la empresa, propusieron la idea a IOActive. El resultado está muy cerca de las distopías de la ciencia ficción (cosa que IOActive no quiso pasar por alto, como se verá enseguida). Buscaron fallas en los robots de 6 fabricantes y encontraron 50 vulnerabilidades; algunas permiten tomar control de autómatas que tienen una fuerza varios órdenes de magnitud por encima de la humana. El informe está disponible en el sitio de la consultora con el sugestivo título Hacking Robots Before Skynet.

En la semana, hablé con Cerrudo y Apa para conocer los detalles –hasta donde pueden revelarlos– de una noticia que oscurece todavía más un panorama de por sí ennegrecido y que no nos ha ofrecido ni una sola noticia esperanzadora en al menos una década.

–¿Qué descubrieron sobre la seguridad de los robots?

Cerrudo –Tomamos diferentes robots para hogares, negocios e industriales y analizamos su seguridad, y encontramos que tienen muchos problemas en ese aspecto. Daría la impresión de ser algo generalizado en la industria robótica; es decir que la mayoría de los robots actuales parecen ser bastante inseguros y fáciles de hackear.

Apa –Ya hace algunos años se ven en los medios noticias sobre competencias de robots, o se habla sobre sus nuevas capacidades. Entonces nos pareció interesante analizar la situación actual de su seguridad. Descubrimos, principalmente, que las empresas más conocidas de robótica no promocionaban en ninguna parte de la documentación las características de seguridad de sus robots. Eso nos hizo dudar sobre si en realidad tienen seguridad o no.

–Ahora, hackear computadoras y la IoT ya es bastante serio. ¿Pero hackear algo que tiene ruedas y brazos?

Cerrudo –Claro, eso incrementa mucho los riesgos y amenazas. Una computadora común o un dispositivo IoT es algo estático, pero los robots se mueven, tienen brazos, piernas o ruedas, y por lo tanto se pueden transformar en una amenaza rodante.

Apa –Con la IoT el riesgo máximo termina en general afectando solamente la privacidad o la integridad de la información. Con robots es algo muy diferente.

Cerrudo –En el reporte de la investigación mencionamos los incidentes con robots en los que resultaron personas muertas o heridas. Si bien fueron accidentes, lo mismo podría ocurrir cuando un robot es hackeado, ya que, principalmente en el caso de los robots industriales, tienen mucha fuerza y están configurados para hacer movimientos muy precisos. Un pequeño cambio en esos movimientos puede terminar lastimando al operador o causando algún destrozo importante.

Apa –Además, los robots están incrementando su fuerza, su velocidad, aceleración, equilibrio, todo eso está creciendo para lograr un producto más fuerte y que pueda hacer mayor cantidad de tareas físicas. Incluso en casas y negocios.

–¿Creen que podría ya haber casos de sabotaje industrial a causa de esto?

Cerrudo –Podría ser posible, seguro, pero no estamos al tanto de que haya ocurrido.

Apa –No se conoce que haya existido ningún caso. Pero, como César decía, hubo accidentes. Pero el sabotaje, ya sea para cambiar el comportamiento del robot o para espionaje industrial, también podrían haber sido llevado a cabo usando las técnicas que nosotros encontramos que eran posibles.

–¿Qué nivel de vulnerabilidades detectaron? Por ejemplo, ¿se podría tomar control de un robot industrial? ¿Filmar lo que ve?

Cerrudo –Encontramos varios tipos de vulnerabilidades que permitían desde tomar control total del robot hasta abusar de sus funciones, por ejemplo espiar con sus cámaras y micrófonos. Hoy en día no se ven muchos robots alrededor, pero están empezando a aparecer por todos lados, en aeropuertos, shoppings, comercios, y su uso se irá incrementando cada vez más.

Apa –En general, el mayor riesgo se puede alcanzar cuando es posible mover la parte mecánica del robot, sin ningún tipo de limitación (por ejemplo, pasar por alto los sensores que protegen a las personas), debido a que podría lastimar o causar daños en su entorno. Pudimos encontrar ejemplos de que tales vulnerabilidades existen en estos tipos de robots.

–¿Qué respuesta obtuvieron de parte de la industria cuando revelaron esto?

Cerrudo –La respuesta no fue muy buena. De los seis fabricantes que investigamos, sólo cuatro nos respondieron, y luego sólo dos nos dijeron que iban a hacer algo, pero sin dar muchos detalles.

Apa –En nuestra investigación encontramos 50 vulnerabilidades en 6 fabricantes de robots. Nos comunicamos con las distintas compañías para compartir esta información, para que lo arreglen lo antes posible. Y, como dice César, solo dos dijeron que iban a hacer algo al respecto.

Cerrudo –Podemos decir que los fabricantes son bastante inmaduros en cuanto al tema seguridad, les falta mucho por hacer, y primero tienen que empezar por aprender qué es lo que tienen que hacer para que los robots sean más seguros.

–¿Puede haber un riesgo para la seguridad nacional de los países que usen robots con vulnerabilidades?

Apa –Por ahora los robots no han sido adoptados masivamente, y no creo que sea asunto de seguridad nacional, por ahora. Tampoco existe ninguna regulación al respecto. Solamente existen estándares y regulaciones con los robots industriales.

Cerrudo –No sé si actualmente hay riesgo para la seguridad nacional, pero en un futuro, si todo sigue igual, podría ser.

–¿Revelaron la lista de fabricantes? ¿Boston Dynamics, la compañía que Google compró en 2013, está en esa lista?

Cerrudo –Sí, los mencionamos, así como los modelos afectados por los problemas. Son estos:

* SoftBank Robotics- NAO y Pepper

* UBTECH Robotics: Alpha 1S y Alpha 2

* ROBOTIS: ROBOTIS OP2 y THORMANG3

* Universal Robots: UR3, UR5 y UR10

* Rethink Robotics: Baxter y Sawyer

* Asratec Corp: Tecnología V-Sido

“Asratec sólo hace software, pero ese software es utilizado por muchos otros fabricantes.

Apa –Los robots que analizamos están entre los más utilizados y distribuidos. Las empresas que los desarrollaron son de China, Japón, Corea del Sur y Estados Unidos. Boston Dynamics por el momento no hace robots comerciales. Nosotros analizamos productos comerciales ya que hay muchos prototipos de investigación que son cerrados y no se tiene acceso a pruebas.

–¿Qué piensa hacer IOActive con esta información?

Cerrudo –Pensamos seguir investigando todo lo relacionado con seguridad en robots y seguir compartiendo nuestros resultados, ya que le sirven a la comunidad para conocer los problemas y de esta forma poder reclamar a los fabricantes y gobiernos que empiecen a hacer algo al respecto. Si no, pronto será muy tarde y los problemas serán muy serios. Esta información también es usada por IOActive para mejorar los servicios que presta y proteger mejor a nuestros clientes.

Apa –En general, es común que los prototipos de investigación después terminen siendo productos comerciales. Es un patrón que encontramos en varios robots. Y por este motivo también algunos son deficientes en seguridad, ya que en un prototipo la seguridad no es un requerimiento. Por ahora vamos a esperar que las empresas afectadas solucionen los problemas que encontramos. Luego la idea es compartir los detalles técnicos para ayudar a otras organizaciones a identificar los mismos problemas en sus productos, antes que salgan al mercado.

–¿Se puede sospechar que pasa algo semejante con los drones?

Cerrudo –No hemos investigado los drones, pero podrían tener problemas similares, como cualquier otra tecnología de esta clase.

Apa –Con respecto a los drones, sí, son robots, aunque en general son tripulados en tiempo real. En los próximos años les pueden ir agregando una inteligencia artificial más evolucionada, para otorgarles cierta autonomía.

–¿Qué tipo de superficie de ataque tienen los robots, principalmente? ¿Vulnerabilidades de día cero? ¿Vulnerabilidades públicas?

Cerrudo –Todo lo que nosotros encontramos serían vulnerabilidades de día cero, ya que no son conocidas. Tienen problemas de autenticación, autorización, encriptación, privacidad, etcétera.

Apa –Nosotros analizamos los ecosistemas de cada robot. Es decir, todos los tipos de interacción que los robots pueden hacer, para de ese modo entender la superficie de ataque. Y encontramos muchas vulnerabilidades de día cero en distintos componentes. Tratamos de diversificar donde buscábamos las vulnerabilidades para tener muchos ejemplos de puntos específicos donde puede haber fallas

–¿Me pueden explicar cómo se busca una vulnerabilidad de día cero, en el caso de un robot?

Apa –Primero hay que entender como funcionan los robots, desde la documentación, identificando todo lo que el robot puede hacer, hacia dónde puede comunicarse. Y luego hay que buscar minuciosamente dónde puede existir alguna incongruencia, debilidad o error humano a la hora de programarlo, es decir una vulnerabilidad. Cada vez que las empresas agregan características a los robots, están expandiendo el código. Entonces también pueden aumentar la cantidad de vulnerabilidades.

Cerrudo –mientras más funciones y componentes, mayor es la superficie de ataque, o sea lugares con posibles problemas de seguridad que puedan ser aprovechados por atacantes.

Así que ahí tienen, una nueva mancha en el indomable tigre de la inseguridad digital. Esta vez, y no es la primera ni será la última, con la inteligencia argentina en el centro de la escena.

Nos vemos en dos o tres semanas, al regreso de mis vacaciones.

Conforme a los criterios de

Conocé más