Este sábado 31 de julio arranca el Black Hat 2021 USA, el evento anual de ciberseguridad más respetado a nivel internacional y que aglutina a los investigadores más relevantes de sus diferentes campos. Este foro, que se celebra en Las Vegas y se prolongará hasta el el 5 de agosto, es el espacio elegido por Alias Robotics para presentar su informe sobre las vulnerabilidades de seguridad en el ámbito de la robótica industrial.

Con este documento, que han elaborado junto con el líder mundial en soluciones de seguridad informática Trend Micro, quieren alertar sobre la exposición de estos dispositivos a los piratas informáticos y, también, a la obsolescencia programada. Alias Robotics es una empresa vitoriana que lleva desde 2018 contribuyendo al proceso de transformación 4.0 en el que la industria está inmersa. Fundada por David Mayoral Vilches -incluido en la lista de Forbes 30Under30 de 2019-, la compañía encabeza los avances en protección ante ciberataques en este tipo de tecnología. Su logro ha sido diseñar un software único en el mundo, el Sistema Inmunológico de Robots (RIS, por sus siglas en inglés), que se instala en el robot y desarrolla protecciones de forma progresiva, adaptando la seguridad a las funciones que desempeña.

Endika Gil, responsable de estrategia de Alias Robotics, habla con Activos sobre la cooperación con Trend Micro, que no solo se enfoca en el citado informe sino que se plantea como un trabajo conjunto para combatir el ciberdelito en la robótica, y sobre los próximos retos de la empresa. 

Presentan los resultados de la investigación fruto de su colaboración con Trend Micro en el Black Hat 2021. ¿Cuáles son las principales conclusiones a las que habéis llegado? 

Fundamentalmente, presentamos una nueva metodología de investigación de ciberseguridad en robots que sirve para detectar sus posibles puntos débiles pronto a través del hardware. Es decir, utilizamos el hardware como punto de entrada para la ciberseguridad en la robótica. En el caso que nos ocupa, hemos detectado más de 100, con 17 “especies nuevas de vulnerabilidades” desconocidas hasta el momento, es decir, CVE IDs nuevos. 

Además de ello, hemos visto que algunos de los fabricantes de robots parecen realizar ciertas prácticas de obsolescencia programada.  

Más de 100 vulnerabilidades detectadas... ¿Cuáles son los principales riesgos a los que están expuestos los robots industriales?

Como todo sistema informático, están sujetos a vulnerabilidades, no obstante muchos fabricantes descartan totalmente el tema aún a día de hoy. Creemos que el principal riesgo al que se enfrentan es idéntico al que ocurría a inicios de los 90, cuando en los PCs los ciberataques se volvieron mainstream.

¿Por qué es tan importante la protección de la robótica industrial? ¿Cuáles son o podrían ser las consecuencias de un ataque?

Hemos demostrado durante años que los niveles de ciberseguridad manifiestamente mejorables de algunos robots pueden llevar a consecuencias desastrosas, dependiendo de la maliciosidad o la 'creatividad' del atacante. El robot puede usarse para exfiltrar (extraer) datos confidenciales o sensibles, puede comprometerse para provocar paradas productivas arbitrarias, introducir microdefectos en la producción, ser secuestrado por virus tipo ransomware y quedar totalmente inutilizado...

En nuestra opinión, el peor de los escenarios es el que un robot puede usarse directamente para causar el pánico o realizar actos que influyan en la seguridad física de las personas de alrededor. Una empresa puede sufrir grandes pérdidas reputacionales o económicas como consecuencia de un ciberataque a un robot.

Endika Gil, responsable de estrategia de Alias Robotics.

Aseguran que "algunos fabricantes de robots colaborativos llevan años ignorando la ciberseguridad". ¿A qué creen que se debe?

Creemos que esta inacción está condicionada porque muchos de estos sistemas no están pensados para estar conectados, y la industria 4.0 y la interconexión simplemente les ha atropellado. Sin embargo, el usuario final de estas tecnologías ya demanda esta capa de seguridad. 

"Muchos de estos sistemas no están pensados para estar conectados, y la industria 4.0 y la interconexión simplemente les ha atropellado"

¿Es una tendencia reversible?

Por supuesto, nosotros animamos a todos los agentes de la cadena de valor de la robótica a que mejoren su postura de ciberseguridad. Va a ir en pro de toda la industria de la robótica. Si los robots van a ser nuestros fieles compañeros en los siguientes años (décadas), no podemos permitir que los ciberataques se conviertan en la norma. 

Abordan la cuestión de la obsolescencia programada, muy debatida en el ámbito de la electrónica de consumo. ¿El debate o conocimiento de esta problemática está igual de generalizado en el contexto industrial?

Todavía no, en nuestra opinión. Cuando hablamos de industria, frecuentemente hablamos de sistemas legado, que suelen durar años. Para el caso de los robots industriales, pueden llegar a durar 20 o incluso más. En la medida en la que la industria 4.0 evoluciona, prevemos que veremos más instancias de obsolescencia programada. 

La Unión Europea ya ha comenzado a trabajar para exigir el ‘derecho a reparar’ en relación con el consumidor, ¿se está prestando atención desde las instituciones europeas a la industria?

En lo que a la robótica se refiere, somos los primeros en reivindicarlos. Ojalá la Unión Europea lo incluya entre los cambios propuestos, porque necesitamos un 'derecho a reparar' en la robótica.

La robótica está hoy como el mundo del automovilismo en los años 1920, donde solamente el fabricante original puede reparar el robot. Estamos hablando de robots más caros que nuestras propias casas. La situación actual es preocupante. Tenemos robots en hospital que rondan entre los 60.000 euros a más de 1.000.000 euros, y tienen fecha de caducidad controlada por terceros. Necesitamos este derecho.  

Telefónica entró recientemente en el accionariado de Alias Robotics. ¿Qué supone la participación de un socio como la operadora?

Telefónica es nuestro partner tecnológico, comercial y socio en Alias Robotics. Desde inicios de 2021 estamos trabajando en CS4R-Munich, el laboratorio de ciberseguridad para robots.

¿Qué objetivos y plazos se manejan con este proyecto? ¿Y por qué con sede en Alemania y no en España?

El objetivo es llevar las soluciones de Alias Robotics al corazón de la automatización europea, en Munich.

Solemos decir no obstante que el primer laboratorio de ciberseguridad en robots estaba ya montado desde 2018 en nuestras oficinas en Vitoria-Gasteiz, y además de eso pronto lanzaremos más iniciativas estatales muy interesantes.

¿Qué planes y objetivos de negocio se ha marcado Alias Robotics para el corto plazo?

Objetivos relacionados con nuestra expansión comercial. Nuestra vertical de servicios profesionales es un área de negocio bien consolidada y nuestra vertical de producto nos da esa escalabilidad que toda startup necesita, a través de la venta de nuestro antivirus inteligente para robots (RIS). Estamos consolidando la red de partners comerciales que nos permiten llegar a cada vez más clientes.