La firma española Alias Robotics, especializada en el campo de la ciberseguridad de robots, y Trend Micro, dedicada a la lucha contra el ciberdelito a nivel mundial, han iniciado una colaboración para combatir el ciberdelito en la robótica. Los primeros resultados del trabajo conjunto se expondrán en el Black Hat 2021, que se celebrará próximamente en Estados Unidos y donde demostrarán que los robots colaborativos no son seguros.
FUENTE: www.cuadernosdeseguridad.com
AUTOR: Isabel Fuentes
Investigadores de Alias Robotics y Trend Micro presentarán en el Black Hat 2021 los resultados de más de tres años de investigación inspeccionando robots industriales, un proyecto en el que también han participado investigadores de la universidad austriaca Alpen-Adria-Universität Klagenfurt. El evento, que es considerado como la cita más respetada a nivel internacional en el ámbito de seguridad de las tecnologías de la información, se celebrará en Las Vegas (Estados Unidos) entre el 31 de julio y el 5 de agosto próximos. Los participantes han publicado un detallado informe sobre nuevos resultados en el campo de la investigación de amenazas y vulnerabilidades en robótica, en el cual alertan de los serios riesgos de estos dispositivos.
El trabajo que se presentará en el Black Hat 2021 aboga por una nueva metodología de enfoque ofensivo y complementario para proteger a los robots industriales de manera factible y oportuna. Sobre la base de una década de experiencias en robótica, los investigadores han revisado el estado actual de la ciberseguridad en robótica y han discutido sobre los desafíos para proteger los sistemas robóticos. Víctor Mayoral-Vilches, investigador de Alias Robotics considera que “la complejidad hace que la seguridad en la robótica sea un desafío”. A su juicio, “la complejidad inherente de los sistemas robóticos lleva a que existan muchos vectores de ataque potenciales, ataques que los fabricantes no logran mitigar en períodos de tiempo razonables”.
A su vez, Federico Maggi, investigador senior de Trend Micro, destaca que “el desmontaje de robots es para la seguridad industrial lo que la ingeniería inversa es para la seguridad del software. Ambas habilidades son fundamentales para la futura generación de profesionales de seguridad”. Los expertos de Alias Robotics y de Trend Micro hacen hincapié en que, al igual que Ford en la década de 1920, la mayoría de los fabricantes de robots industriales siguen trabajando en la actualidad con varias prácticas de obsolescencia programada y organizan a los concesionarios (a menudo llamados distribuidores) o integradores de sistemas aprobados en redes privadas, proporcionando piezas de reparación solo a empresas certificadas en un intento de desalentar las reparaciones y evadir la competencia.
Más de 100 vulnerabilidades
La colaboración reveló más de 100 vulnerabilidades que afectan a varios fabricantes de robots industriales colaborativos. Entre los resultados obtenidos, los investigadores observaron que dos de las empresas de robótica de Teradyne (Universal Robots y Mobile Industrial Robots) presentaban decenas de vulnerabilidades. Este caso es de especial interés porque sus robots se anuncian como colaborativos, es decir, diseñados para aumentar las capacidades humanas cooperando estrechamente (físicamente) sin causar ningún daño.
Los resultados muestran evidencias de que los desmontajes de robots pueden ayudar a la industria robótica y a la cadena de suministro, al mejorar significativamente la calidad, la seguridad y la protección de estos dispositivos. Los hallazgos también demuestran prácticas de obsolescencia programada. En este sentido, los autores abogan por un “derecho a reparar” en robótica y alientan a los usuarios finales a reflejar sus necesidades de seguridad en sus cadenas de suministro y en los fabricantes originales.
La colaboración entre Alias Robotics y Trend Micro también incluye tanto la cooperación de proyectos como el intercambio de inteligencia en el campo de la ciberseguridad de los robots. De hecho, ambas empresas presentarán informes conjuntos y realizarán colaboraciones frecuentes con las Fuerzas de Trabajo de Delitos Electrónicos, incluidas las Fuerzas y Cuerpos de Seguridad de España, el Centro Vasco de Ciberseguridad o las Fuerzas de Seguridad del Gobierno de los Estados Unidos, entre otras.
“La seguridad es una carretera de doble sentido, tanto los fabricantes como los investigadores de seguridad debemos actuar de manera responsable. Nuestra investigación muestra que algunos fabricantes de robots colaborativos llevan años ignorando la ciberseguridad. Peor incluso, estos fabricantes empujan las responsabilidades legales a la cadena de suministro, incluyendo muchos distribuidores e integradores de sistemas en España. Es necesario que los fabricantes asuman su responsabilidad, reaccionen e inviertan en seguridad de forma inmediata. Un robot sin ciberseguridad es un robot inseguro. Esto es especialmente preocupante con robots colaborativos, que operan mano a mano con nosotras y nosotros, por eso lo presentamos en el Black Hat”, explica Víctor Mayoral-Vilches.
