En la venidera era de la robótica, muchas de esas máquinas autónomas serán móviles y estarán conectadas a Internet. ¿Qué pudiera salir mal?
Importantes fallas de seguridad fueron encontradas en un examen de seis robots domésticos e industriales, según un informe dado a conocer el 1º de marzo por IOActive, una firma de consultoría en seguridad computacional con oficinas centrales en Seattle.
El reporte señala que solo cuatro de las seis compañías respondieron a la alerta de la firma, y solo dos dijeron que planeaban hacer parches después de ser informadas de los problemas.
Los investigadores, quienes describieron en el reporte las categorías de las vulnerabilidades que habían descubierto pero no las fallas específicas, dijeron que su investigación simplemente era un reconocimiento temprano del campo.
“Es importante señalar que nuestras pruebas ni siquiera fueron una auditoría de seguridad profunda y extensa, ya que eso habría requerido mucha más inversión de tiempo y recursos”, escribieron los autores.
“El objetivo de este trabajo fue tener una percepción de alto nivel de lo inseguros que son los robots de hoy, lo cual conseguimos”, agregaron.
Pese a la naturaleza general del reporte, especialistas de la industria advierten que si los fabricantes de robots no adoptan un enfoque en que den prioridad a la seguridad, esto podría acosarlos.
“El deseo del comercio en línea incorporó algoritmos criptográficos fuertes a nuestras vidas”, dijo Joe Britt, el director ejecutivo de Afero, un fabricante de sistemas de comunicaciones seguras para el mundo de la llamada computación incrustada, el cual tiene su sede en Los Altos, California.
“A medida que los sistemas incrustados para los sensores y la robótica florezcan en la nueva ola de la computación, el no aplicar estas salvaguardas comprobadas es como abrir el cerrojo de nuestras puertas”.
La investigación subraya los potenciales desafíos de seguridad que nos esperan en el mundo de los robots móviles. Dada la popularidad de los sistemas robóticos domésticos estacionarios como los asistentes personales Echo de Amazon y Home de Google, así como docenas de otros dispositivos conectados a Internet como los timbres de las puertas, las videocámaras e incluso las bombillas eléctricas, parece que los consumidores están dispuestos a confiar en que los fabricantes están incluyendo la seguridad adecuada en los productos.
Es común que los fabricantes que no tienen buenas prácticas de seguridad no sepan cómo hacer frente a los reportes de vulnerabilidad. La mayoría de ellos probablemente no tienen establecido un procedimiento para manejar los reportes y tampoco ofrecen correcciones de seguridad a los clientes.
Los robots son ampliamente usados en la manufactura. Pero son en gran medida sistemas como brazos robóticos que no tienen funciones autónomas y no pueden moverse en el entorno.
Hay un creciente consenso de que, durante la próxima década, los avances en la inteligencia artificial harán posible que los robots se muevan libremente en entornos no estructurados. Esto acercará más a los vehículos de conducción autónoma a la realidad y también llevará a una generación de máquinas que operarán de manera autónoma en casas, oficinas y fábricas.
Los autores del nuevo reporte desafiaron a la industria de la robótica, diciendo que no se estaba dando suficiente atención a problemas de seguridad bien conocidos que han resultado devastadores para las redes computacionales comerciales existentes.
“Le llamamos un Internet de las Cosas con brazos, piernas y ruedas”, dijo César Cerrudo, director de tecnología de IOActive. “La superficie de ataque es enorme. Cada robot tiene múltiples maneras en que puede ser vulnerado”.
Avances sin pensar
Los investigadores dijeron que los fabricantes de robots estaban apresurándose a llevar sus productos al mercado sin dar la consideración adecuada a la seguridad.
“A los vendedores les gusta añadir funciones que complazcan al público”, dijo Lucas Apa, un consultor de seguridad en IOActive y uno de los autores del reporte. “Se olvidan de cuestiones importantes. Los robots pueden tener micrófonos y cámaras; pueden caminar y pueden tomar objetos. La gente no se da cuenta de las consecuencias de algo que puede tomar un objeto o puede escucharle o verle”.
El reporte identifica fallas de seguridad en varios robots, incluidos los robots domésticos NAO y Pepper hechos por SoftBank Robotics; y robots manufactureros de Universal Robots y Rethink Robotics, dos fabricantes de brazos robóticos cuya función es colaborar con trabajadores humanos en aplicaciones de líneas de ensamblaje.
También identifica fallas en pequeños robots humanoides hechos por UBTECH Robotics y Robotis, y en software robótico desarrollado por Asratec Corp.
El informe identifica siete tipos de problemas de seguridad, que van desde sistemas criptográficos débiles y configuraciones de fábrica vulnerables hasta lo que los expertos en seguridad llaman problemas de autenticación. En algunos casos, señalan que fue posible controlar algunas funciones del robot sin autenticación.
“Encontramos servicios robóticos clave que no requerían un nombre de usuario y contraseña, permitiendo a cualquiera acceder de manera remota a esos servicios”, indicó el reporte.
Uno de los fabricantes de robots identificados por el informe refutó las conclusiones. Dos de las críticas formuladas por los investigadores realmente involucraban a “funciones” añadidas para los mercados de investigación y educación, según Gil Haylon, portavoz de Rethink Robotics. Añadió que otras vulnerabilidades habían sido “eliminadas gradualmente” en la actualización de software más reciente para los robots Baxter y Sawyer de la compañía, que están dirigidos a operaciones de ensamblaje ligeras.
Universal Robots dijo que estaba analizando el problema planteado por los investigadores. Las otras compañías no respondieron de inmediato a solicitudes de comentarios.