Robots: vulnerables y peligrosos

Un estudio de IOActive relaciona los riesgos de estas máquinas con los de los dispositivos IoT y concluye que la mayoría de errores encontrados podrían haberse evitado mediante medidas tradicionales de seguridad.

PC World en Español

Los robots y los dispositivos IoT tienen más cosas en común de lo que pudiera parecer a primera vista. Al menos en lo que a temas de brechas de seguridad se refiere.

Un análisis de los robots domésticos y de las instalaciones industriales, realizado por la consultora IOActive, reveló que comparten muchas de las mismas debilidades básicas que son comunes en el Internet de las Cosas. El estudio pone de manifiesto, además, varias connotaciones para la seguridad humana.

La industria de la robótica ha experimentado un crecimiento más que significativo en los últimos años, y el camino pasa por la aceleración y la implementación de este tipo de máquinas, pues están adentrándose en prácticamente todos los ámbitos, desde la asistencia doméstica, almacenes, instalaciones médicas hasta manufactura en fábricas, entre otras.

Pero cuando se piensa en robots como computadoras con brazos, piernas o ruedas, todos se convierten en dispositivos cinéticos de IoT que si son hackeados pueden plantear nuevas amenazas, muchas que nunca antes se habían conocido.

Así piensan los investigadores de IOActive en el informe, donde destacan que a medida que las interacciones entre humanos y robots mejoran y evolucionan, nuevos vectores de ataque emergen y los escenarios de amenazas se expanden.

Consideran que las extremidades mecánicas, los dispositivos periféricos y la confianza humana amplían el área donde las cuestiones de ciberseguridad podrían ser explotadas para causar daño, destruir bienes o incluso matar.

Los encargados del estudio descubrieron que la mayoría de los robots utilizaban comunicaciones inseguras, tenían problemas de autenticación, carecían de muchos esquemas de autorización, utilizaban criptografía débil, expusieron información privada y traían configuraciones débiles de por defecto. Además, se construyeron con estructuras de código abierto y bibliotecas vulnerables.

Aunque no todos tenían estos problemas, cada uno tenía varios de ellos. Y la conclusión es que muchos de los modelos de robots que no fueron incluidos en los análisis tienen muchas de las mismas debilidades.

Algunos robots pueden ser controlados desde aplicaciones móviles o pueden ser programados con software instalado en computadoras. Otros, se comunican con servicios basados en la nube para recibir actualizaciones.

De esta forma, si los canales de comunicación entre estos distintos componentes no son seguros y cifrados, es muy sencillo para los atacantes inyectar comandos maliciosos o actualizaciones de software que se puedan ejecutar en dichas máquinas. Además, muchos de los firmware y sistemas operativos de los robots probados tenían servicios de acceso remoto que proporcionaban acceso a diferentes funciones. La entrada a alguno de estos servicios no requiere ninguna autenticación y los que la solicitaban contaban con mecanismos inestables que podrían ser fácilmente anulados.

Este es uno de los problemas más críticos, pues permite que cualquiera los infecte fácilmente de forma remota.

Otro de los grandes problemas es que en muchas ocasiones los robots pasan de ser prototipos a productos comerciales demasiado rápido, sin que se realicen auditorías de seguridad y se incorporen protecciones adicionales.

Pero, ¿cuáles son las implicaciones que los relacionan a los dispositivos IoT? Podrían espiar a través de micrófonos o cámaras proporcionando un punto de apoyo dentro de las redes  internas para lanzar otros ataques o exposición de datos personales y credenciales almacenadas para servicios de terceros.

Y, debido a sus habilidades cinéticas, planean otros peligros como su utilización para dañar objetos y herir a personas, abrir puertas, desactivar alarmas, etc.  “Muchos de los problemas que muestra la investigación podrían haberse evitado implementando prácticas tradicionales de seguridad”, concluye el informe.

Subscribe!