Hasta una quincena de vulnerabilidades que podrían tener "devastadoras consecuencias" para los dispositivos robóticos y sus usuarios son las que ha conseguido descubrir y evitar un equipo internacional que lidera la vitoriana start up Alias Robotics. Gracias a este trabajo en equipo, integrado por expertos en ciberseguridad de varias multinacionales y de varios gobiernos, se ha detectado que estas amenazas están presentes en casi 650 dispositivos diferentes utilizados en todos los campos económicos de todo el mundo: desde la NASA, a centros mundiales de datos (Huawei Cloud Service), grandes multinacionales industriales (Siemens), así como hospitales (robots para cirugía), bancos y universidades de 34 países.
Estas vulnerabilidades detectadas en el Sistema Operativo de Robots (ROS) y en el software de comunicaciones DDS (Servicio de Distribución de Datos) podrían llegar a suponer la pérdida de control del dispositivo robótico, la seguridad del mismo, la denegación de servicios mediante la fuerza bruta, la posibilidad de facilitar el acceso al dispositivo en remoto, o bien problemas en la cadena de suministro, entre otras.
Los autores del estudio, y pese a la insistencia en los últimos meses para su corrección y subsanación, han constatado que muchas de estas vulnerabilidades de seguridad, han estado abiertas "por mucho tiempo, incluso años, por lo que cibercriminales podrían a día de hoy utilizarlas para paralizar infraestructuras críticas de todo el mundo", según denuncia Víctor Mayoral-Vilches, fundador y CTO de la gasteiztarra Alias Robotics.
Problema de "magnitud"
A su juicio, "todavía muchos fabricantes de dispositivos robóticos priorizan el desarrollo de su negocio y continúan ignorando la ciberseguridad". Mayoral-Vilches hace hincapié en que muchos de los fabricantes se niegan a solucionar los problemas "porque si lo hicieran incumplirían la norma/especificación de DDS". "Este es un problema de magnitud –recalca el fundador de Alias Robotics– ya que la revisión de la norma de DDS puede tardar años en ser revisada de forma apropiada".
El informe, que ha sido recientemente citado y publicado por la Agencia de Seguridad e Infraestructuras de Ciberseguridad de Estados Unidos, fue presentado durante 2021 en varios foros incluyendo el Black Hat 2021 de Las Vegas, que es el mayor encuentro anual de ciberseguridad del mundo, pero también en la ROS-Industrial Conference 2021 y más recientemente en una sesión organizada por la Comisión Europea. Su investigación continuará siendo presentada durante este 2022 en nuevas conferencias y foros industriales.
A fin de mitigar las amenazas encontradas y capacitar a ingenieros, el equipo de Alias Robotics ha liderado un segundo esfuerzo de investigación que ha producido y liberado con licencia de código abierto una serie de herramientas que permiten detectar estas vulnerabilidades en ROS 2 y DDS.
Los resultados de este esfuerzo han sido resumidos en el artículo SROS2: Usable Cyber Security Tools for ROS 2 que ha sido enviado a la Conferencia Internacional de Robots y Sistemas (IROS 2022), que tendrá lugar en Kioto (Japón) el próximo 23 de octubre.