Victor Mayoral, fundador de Alias Robotics: "Estamos convirtiendo nuestras casas en auténticos hervideros ciberinseguros"

En colaboración con otros expertos ha descubierto 13 peligrosas vulnerabilidades presentes en casi 650 dispositivos diferentes expuestos en Internet y utilizados en la industria, en el campo de la salud o en ámbitos militares.

Guardar

Victor Mayoral
Victor Mayoral

Victor Mayoral es fundador y responsable de tecnología de la firma vitoriana Alias ​​Robotics, especializada en ciberseguridad robótica. En colaboración con expertos en ciberseguridad de varias multinacionales y gobiernos, han descubierto 13 de peligrosas vulnerabilidades, algunas críticas, en el Sistema Operativo de Robots (ROS, en sus siglas en inglés) y los protocolos de comunicaciones DDS que afectan a los sistemas y robots industriales, vulnerabilidades que de ser utilizadas por cibercriminales podrían tener “devastadoras consecuencias”. A su vez, han detectado que estas vulnerabilidades están presentes en casi 650 dispositivos diferentes expuestos en Internet y utilizados no solo en la industria, sino en el campo de la salud o en ámbitos militares. Escudo Digital ha hablado con él sobre estos temas y algunos más. 

Habéis encontrado vulnerabilidades en casi 650 dispositivos generan una gran desconfianza, ¿a qué empresas afectaban estas?

Hemos detectado dispositivos afectados por estas vulnerabilidades en organizaciones como la NASA, pero también en centros mundiales de datos, grandes multinacionales industriales (Siemens), así como hospitales, bancos y universidades de 34 países, afectando a 100 organizaciones a través de 89 proveedores de servicios de Internet (ISP).

ros robotica
Un ingeniero verifica el funcionamiento de una máquina de brazos automáticos

 

Resulta muy impactante que hayáis encontrado tantas vulnerabilidades en el sistema ROS...

El ROS es algo que nos pilla muy de cerca a nuestra empresa. Yo particularmente durante mi doctorado trabajé en el año 2014 en California, en Mountain View en la construcción de ROS 2, que hoy en día está siendo utilizado en muchísimos sistemas, coches autónomos, brazos robóticos industriales, sistemas aeroespaciales, equipamientos militares, infraestructuras críticas, …), además de en robots industriales. Lo que ocurre es que utiliza DDS, y es el DDS el más afectado por estas vulnerabilidades. 

"El DDS lleva cerca de diez años funcionando, pero el problema es que hasta ahora no ha habido un ojo crítico que analice el uso de este protocolo y hemos sido nosotros quien hemos conformado y liderado el grupo que se haga cargo de ello"  

 

¿Podrías explicar en qué consiste para los profanos?

Por sus siglas en inglés significa Servicio de Distribución de Datos y es un software de comunicaciones. Podríamos decir que ROS se construye sobre un protocolo de comunicación DDS, un  software intermedio’ (denominado middleware) que es el principal bus de comunicaciones entre diferentes dispositivos robóticos, es decir, el núcleo de ROS (Robot Operating System), que usan la mayoría de ingenieras e ingenieros de robótica para todo tipo de robots industriales presentes o futuros, con aplicaciones en el mundo empresarial, en el ámbito industrial, pero también en el mundo de la salud, como es el caso de los robots quirúrgicos. Lo utilizan desde los parque eólicos hasta empresas de telefonía

Sorprende especialmente que afecte al ámbito militar.

Sí, el equipamiento militar usa este protocolo de comunicaciones porque precisamente fue diseñado entre otras cosas para prestar comunicaciones con bajas latencias en tiempo real que respondan rápido a las incidencias y amenazas. Lleva cerca de diez años funcionando, pero el problema es que hasta ahora no ha habido un ojo crítico que analice el uso de este protocolo y hemos sido nosotros quien hemos conformado y liderado el grupo que se haga cargo de ello.  

¿Os definiríais como hackers?

Somos investigadores en robótica y en seguridad, pero no tenemos ningún problema en que se nos llame hackers. La palabra hacker no tiene por qué tener una connotación peyorativa. Si quieres decir que somos hackers no nos sentimos ofendidos en absoluto. Hemos trabajado siempre desde un marco muy ético, con organizaciones muy importantes de ciberseguridad, con Trend Micro, con TX1 y otras importantes entidades.

Cabra robot Bex
Cabra robot Bex

Hace tan solo unos días una cabra mecánica gigantesca, que podía llevar encima a una persona, ha triunfado en Japón, en la feria Bex. Se supone que va a hacerle la competencia al perro robótico Spot, el de Boston Dynamics. ¿Qué opinas de estos artilugios?

Nosotros, por lo general, habiendo trabajado en el sector, intentamos tener los robots un poco lejos, porque la falta de conciencia en ciberseguridad es tal que la consecuencias de hackear una cabra o un perrito de los que patrullan como guardias de seguridad y andan por las calles de Singapur pueden ser severas. Creo que en Espoaña hay empresas que alquilan estos robots mecánicos incluso como perros de feria.

¿Hasta qué punto existe peligro en estos casos?

Cualquiera de estos dispositivos tiene un plazo de control teleoperado, no siempre tienen medidas de safety que permita desconectarlos de forma remota. Si alguien tomara el control del dispositivo puede perfectamente coger el perrito y llevárselo a una carretera y ya podemos imaginarnos los problemas que esto podría acarrear. Y esto es un caso sencillo.

Háblanos de alguno más complicado…

Hemos hecho trabajos para gobiernos extranjeros en los que hemos demostrado cómo podíamos hacernos con el control de robots móviles de los que se utilizan para transportar camillas o para desinfección de zonas hospitalarias con rayos ultravioletas y llevarlos todos a recepción. He de recordar que los rayos ultravioletas son cancerígenos. Hemos demostrado que un ciberatacante puede llegar a causar a seres humanos daños de mucha gravedad. Naturalmente hemos experimentado en laboratorio y con medidas muy estrictas de seguridad, pero hemos demostrado que esto es factible y se puede hacer no solo con perros o cabras sino también con robots que se encuentren en un entorno tan sensible como un hospital.

"Algo que nos preocupa es la cadena de suministros del robot quirúrgico Da Vinci"

 

¿Habéis trabajado con el robot cirujano Da Vinci? Hace algunos años, allá por el 2014, se publicó que había habido algunos accidentes.

Hemos trabajado con Da Vinci y seguimos haciéndolo. Esto es un poco todo lo que te puedo decir, pero con esto creo te digo mucho. Si estamos trabajando en ellos obviamente es porque hay mucho que hacer pero no solo con en el Da Vinci. Hay mucho que hacer con otros robots quirúrgicos, por ejemplo, en los países nórdicos.

¿Qué es lo que ocurre allí?

Están utilizando un brazo robótico para hacer tomas del paladar y de la nariz del Covid. Imagínate, es lo mismo que cuando íbamos al hospital y nos metían un palito en la nariz, pues hazte una idea con un brazo robótico. Vemos eso y nos aterroriza que pueda ser hackeable.

Creo que el Da Vinci puede hacer movimientos que ni el cirujano más experto puede lograr, como el movimiento llamado de cucharilla.

Los robots quirúrgicos como el Da Vinci son fantásticos, y la compañía que está detrás de ellos, Intuitive Surgical, es muy respetada. Pero por supuesto, cuando estás con un robot con tantas capacidades, lo lógico es que se responda también con responsabilidad. Son robots que pueden ser teleoperados. Están constantemente conectados a Internet. Aquí en el Osakidezta, en Euskadi hay cuatro que funcionan las 24 horas del día. Tenemos muchos casos de estudio y otros que nos comparten. De repente, desde California les llega un mensaje del tipo “os habéis dejado el Da Vinci mal puesto”. Un día puede que ocurra esto, y otro que alguien no tan amigable sea quien se ponga en contacto contigo. Una de las cosas que nos preocupa es la cadena de suministros del Da Vinci.

¿En qué sentido?

Utilizan herramientas que son extremadamente caras. Cada uno de estos efectos cuesta cerca de 3.000 €, y son de usar y tirar. Estamos empezando a ver que hay un mercado de herramientas que no son tan oficiales como deberían serlo, o quizás gente que las utiliza más de lo que debiera y eso es algo que nos preocupa porque estamos hablando de un robot qué ópera un robot quirúrgico, y es importante su absoluta integridad.

¿Te refieres a un bisturí minúsculo?

Sí, o a la última micropinza que maneja el brazo del robot. Hemos visto algunos casos en Alias Robotics y los estamos estudiando. Las inseguridades no solo pueden reflejarse en el robot completo, sino también en toda la cadena de suministros, es algo que estamos viendo. Cómo un pequeño dispositivo que contenga el software malamente inyectado, es decir, con malas intenciones, puede comprometer perfectamente todo el robot. Esto es algo que estamos investigando, pero también nos preocupa no solo en el Da Vinci, sino también en otros muchos casos. Hay muchas más marcas.

Con la escasez de chips estamos viendo casos de personas que buscan coches y motos absolutamente mecánicos, al estilo de Cuba, como si estuviéramos en un escenario apocalíptico de película. ¿Existe un miedo fundado a que la tecnología se vaya al garete, o hay demasiadas paranoias?

No hay ningún fundamento para este miedo, es mi opinión personal.Aparte de mi filiación con Alias Robotics he trabajado como  arquitecto robótico de Xilinx/AMD, una de las empresas más grandes del mundo de semiconductores. Trabajo para que los robots piensen más rápido, ocasionen menos gastos y sean más eficientes. Y eso está muy relacionado con la seguridad. El sector de los semiconductores es un sector donde quizá hemos pasado por un mal trago debido a la escasez de ciertos productos por las circunstancias geopolíticas internacionales. No obstante, a día de hoy las empresas de semiconductores están reduciendo muchísimo los tiempos de entrega. De cuarenta semanas han pasado a 20 y pronto estarán en menos. Es un buen momento para invertir en semiconductores.  

¿Cómo va a evolucionar la situación mundial frente a los problemas de logística derivados de la crisis energética?

Es una pregunta muy difícil. Me limito a contestar en lo que considero yo de cara a lo que a lo que se nos viene encima el transporte los últimos próximos años. Hay mucho miedo de que el transporte se automatice, y que este inversión multimillonaria en hacer coches y camiones que conduzcan solos pueda acabar convirtiéndonos a todos en completamente inútiles. Esto no va a ocurrir a corto plazo. Es un mensaje que es importante lanzar. Yo lo digo desde el conocimiento de causa mío en la robótica, habiendo trabajado en sistemas de este tipo. Los sistemas robóticos a día de hoy están muy lejos de las habilidades profesionales reales de transportistas y conductores. Queda mucho por hacer, se va a ir muy poco a poco.

"Se está empezando a hablar de que van a ser los directivos de las empresas que no han invertido en ciberseguridad quienes tengan que pagar las consecuencias legales de no haber sido responsables"

 

Recientemente los familiares de las víctimas fallecidas en un accidente de un coche conducido por piloto automático de la marca Tesla demandaron no solo al conductor, sino también a la compañía por “fabricar coches defectuosos”.

No tengo una opinión específica sobre quién tiene que responder, es algo que corresponde a los legalistas. Pero si puedo dar mi opinión desde la perspectiva de la ciberseguridad. Las empresas de automóviles se preocupan de que básicamente el robot no dañe a los humanos, es lo que se llama safety, en el ámbito técnico. El problema es que el safety no se puede garantizar sin antes garantizar la seguridad, el security. Si el safety se encarga de que el robot no haga daño a un humano, es decir, que no lo atropelle, por ejemplo, no lo puedes garantizar si antes no haces que el robot opere como esperas. Es decir, si los ciberaatacantes o hackers comprometen el funcionamiento del robot y no se comporta como uno espera no hay safety que garantizar, el primer paso es garantizar la ciberseguridad, el security. Y solo cuando la ciberseguridad está garantizada se podrá hablar con claridad de la responsabilidad, hasta qué punto el fabricante debe o no debe asumirla.

¿Y hacia dónde irán los tiros?

Estamos ante un debate muy interesante que en Europa se está caldeando mucho, porque se está empezando a hablar de que van a ser los directivos de las empresas que no han invertido en ciberseguridad quienes tengan que pagar las consecuencias legales de no haber sido responsables. Esperamos que eso llegue más pronto que tarde porque será así, y solo así, cuando nos demos cuenta desde una perspectiva de defensa que esta es la única manera de garantizar la seguridad ciudadana. Invirtiendo productivamente en ciberseguridad

Hay cepillos eléctricos de dientes que monitorizan con el móvil utilizable como si fuera un espejo si te los has lavado bien o no. ¿Qué opinas? 

A mí me parece  horroroso eso que me cuentas, no por el cepillo que seguramente será muy bueno y muy util, me parece horripilante desde una perspectiva de ciberseguridad que haya cepillos de dientes con IOT. Es muy peligroso. Nosotros en casa y más ahora que tenemos un bebé, nuestros dispositivos digitales son los mínimos. Te lo aseguro, no tenemos el típico dispositivo con la camarita que lo envía a la nube. Ni siquiera eso. Tenemos un walkie talkie a la vieja usanza al lado de la cuna de nuestro hijo.  

¿Lo habréis comprado en el cash converter?

No sé si en el cash converter o en la tienda china de a un euro. Entre esos dos sitios anda la cosa. Bromas aparte, el riesgo al cual nos sometemos con este tipo de cosas es tremendo. Eso de que tu móvil te esté diciendo si te estás limpiando los dientes bien o mal significa que tus datos están pasando a la nube, y tu imagen también. Es preocupante la cantidad de datos que estamos facilitando. Cada uno de estos dispositivos son en realidad, desde una perspectiva de ciberseguridad y desde una perspectiva de análisis ofensivo, vectores de ataque potenciales. Son posibles puntos de entrada por los cuales un atacante puede directamente acceder a ti y si a este atacante le das el cepillo de dientes, la cámara del bebé y Alexa en casa para que me encienda la radio y luego no sé cuántos otros más gadgets, estamos convirtiendo nuestras casas literalmente en auténticos hervideros ciberinseguros. Y esto es gravísimo con el panorama de ciberseguridad que estamos viviendo donde parece que hay barra libre para tocar prácticamente todo.

¿Estamos en una ciberguerra?

Sí, claro, constante. 

¿Quiénes son mejores, los rusos o los occidentales, en este ámbito?

En eso permíteme que me reserve mi opinión. Yo creo que todos los cibercriminales son malos vengan de donde vengan sea de donde sean y tengan el apellido y la nacionalidad qué es tengan.

¿Qué servicio de mensajería usas? ¿Signa, WhatsApp o Telegram?

No uso ninguna de las tres en el ámbito personal. Uso el correo electrónico, y en el ámbito de lo profesional intento evitar en la mayor medida posible las apps de mensajería. Tengo la suerte de que laboralmente puedo vivir un poco con el e-mail y a esta práctica nos aferramos.

Contadnos un poco sobre vosotros. Alias Robotics fue fundada en el año 2017 y os ha pillado la pandemia prácticamente en el ecuador de vuestra trayectoria. ¿Cómo os ha afectado?

Alias Robotics  ha crecido más de un 400% durante los últimos dos años, con lo cual digamos que hemos estado ocupados en lo que a ventas se refiere. La ciberseguridad es un ámbito que no descansa, y con el confinamiento ha habido más trabajo que nunca.

Creo que estáis cerrando en estos momentos muchos acuerdos con clientes extranjeros…

Sí, no paramos de viajar. Hay algunas oportunidades de negocio que estamos acordando actualmente. Vamos de puerto en puerto como quien dice. Hemos estado en Singapur, Estados Unidos, Alemania, Suecia, Suiza…

¿Os desplazáis a estos países para dar servicio?

En muchos casos realizamos el trabajo en remoto, pero también in situ, y ello ocurre cuando se trata de atacar sistemas robóticos accesibles o no accesibles. Si no se puede hacer desde Vitoria de una forma totalmente controlada nos desplazamos a donde haga falta.

¿Cuántos sois?

Somos un equipo de unas diez personas, pero somos un poco como una esponja. Crecemos en función del proyecto o las circunstancias, pero normalmente rondamos esa cifra de trabajadores. Cada uno tenemos determinadas habilidades que se complementan, y estamos muy contentos de trabajar en un sector tan apasionante. Lo más interesante es poder investigar con colegas de todo el mundo.

Los resultados de las investigaciones de Víctor Mayoral y su equipo han sido resumidos en el artículo “SROS2: Usable Cyber Security Tools for ROS 2” que ha sido enviado a la Conferencia Internacional de Robots y Sistemas (IROS 2022), uno de los eventos más relevantes cada año en el sector de la robótica y que se dará cita en Kioto (Japón) el próximo 23 de octubre.