El rescate de un robot

26 Mar 2018

Como la mayoría de los dispositivos electrónicos, los robots no son inmunes a los cibercriminales. El año pasado, los investigados de IOActive detectaron hasta 50 vulnerabilidades en robots desarrollados por la empresa japonesa SoftBank. Los investigadores informaron al fabricante, pero no obtuvieron respuesta, por ello han decidido mostrar de lo que es capaz un robot hackeado en el Security Analyst Summit 2018.

Robots hackeables

Los robots están por todas partes, trabajando en fábricas y almacenes, vertederos e incluso en hospitales. SoftBank Robotics suministra ayudantes electrónicos para trabajar con personas. El modelo NAO inicia a estudiantes de primaria y secundaria en la programación y la robótica; además, también enseña a niños con autismo. También se creó el modelo Pepper para trabajar en el sector servicios, con el fin de atraer a clientes potenciales y tratar con los clientes.

Como descubrió IOActive, para tomar el control de NAO solo hay que estar en la misma red que el robot. Los expertos descubrieron vulnerabilidades que permitían que los comandos se ejecutaran de forma remota en ella, perdiendo el control total de sus acciones.

Para demostrar cómo explotar estas vulnerabilidades, el equipo obligó a NAO a pedir bitcoins desde su interlocutor humano, pero los delincuentes de verdad no son tan benévolos. Además, no solo NAO puede infectarse con ransomware, Pepper, orientado a las empresas, y demás modelos también son vulnerables.

Imagina que un día un robot profesor o un empleado de tienda/almacén empezara a blasfemar e insultar a la gente justo antes de abandonar su puesto de trabajo e iniciar un enfrentamiento.

¿Por qué querría alguien hackear un robot?

¿Qué ganan los delincuentes con esto? ¿Arruinarle el día (o la vida) de alguien? Un incentivo más que suficiente para algunos hackers que realizan sus actividades por mera diversión. Pero existe otro motivo: el dinero.

Es muy simple. Un robot cuesta unos 10.000 dólares y, si se rompe, debe repararse o remplazarse. Ambas opciones requieren un desembolso importante, además, el tiempo de inactividad y la pérdida de reputación asustaría a los clientes y aumentaría la cantidad de forma considerada. Si se hackeara un robot industrial, supondría una amenaza inmediata para la seguridad del empleado y la calidad de la producción.

Los atacantes ofrecen una rápida solución al problema (que ellos mismos han causado), se paga el rescate y todo vuelve a la normalidad. Pero como ya sabes, los ciberdelincuentes no siempre son fieles a su palabra y podrían entrar en bucle hackeando de nuevo el robot y pidiendo otro rescate.

¿Qué puedes hacer?

Los robots han venido para quedarse (y multiplicarse), así que no te bastará con evitarlos, para ello tendrías que retroceder en el tiempo. Los usuarios y, sobre todo, los fabricantes tienen que concienciarse de las debilidades de los robots.

Para asegurarnos de que estos dispositivos no acaben en catástrofe en un abrir y cerrar de ojos, los proveedores de robots deben pensar de antemano en las especificaciones de seguridad antes de empezar la producción. Hoy y, mejor aún, ayer. Y una vez lanzado el dispositivo deberían estar atentos y responder y solucionar rápido las vulnerabilidades.