Director técnico de la startup Alias Robotics

Víctor Mayoral: “Urge poner coto a tanto robot descontrolado”

57
Víctor Mayoral Vilches, CTO de la startup Alias Robotics

Robótica y ciberseguridad nunca han ido de la mano. Nadie se daba cuenta porque no había tantos robots. Ahora, cuando han entrado en fábricas, domicilios y hasta hospitales, empiezan a ponerse en evidencia sus vulnerabilidades, según se van produciendo accidentes que pueden llegar a causar importantes daños físicos.

Así lo ve Víctor Mayoral Vilches, director técnico y cofundador de la startup vasca Alias Robotics (Vitoria), a la que presenta como “la primera empresa de ciberseguridad robótica del mundo”. El momento no puede ser más dulce para las diez personas que forman el equipo: han abierto su primera delegación en EEUU (Boston) y se encuentran en pleno lanzamiento de su sistema inmunológico para proteger robots – RIS, Robot Immune System -, tras dos años de investigación que han contado con financiación de la UE y del Gobierno Vasco, principalmente.

La parte amarga, sus dificultades para ser bien entendidos y recibidos por los fabricantes, con quien pretenden colaborar para solucionar “esta inseguridad creciente y mayor riesgo de sufrir ataques digitales”. Desde luego, escucharle hace difícil no llevarse las manos a la cabeza. Y eso, que es evidente que trata de ser cauto para no alarmar; pero es imposible.

Llevabais un par de años investigando, muy discretos, y de pronto se ha roto el silencio. ¿Supongo que contabais con el ruido que iba a provocar vuestra especialidad, ¿no? Tanto por pionera como por poner en evidencia muchos problemas.

Bueno, es que descubrir y comprobar vulnerabilidades en robótica es esencial y trascendente, aunque no plato de gusto. Es un asunto espinoso y de peso: por cada mil trabajadores españoles hay ya unos 16 autómatas. Por eso, según avanzan la automatización y la digitalización, es más necesario vigilar sus garantías, pero al final supone poner el dedo en la llaga, claro. Son temas muy delicados y conflictos muy severos. Digamos que ahora está empezando la ola mediática, era previsible, es cierto, pero nuestro interés no es crear alarma, sino poner solución y reconducir las cosas. Antes de hacer públicas las fallas de seguridad que vamos detectando, el primer paso es ponernos al habla con el fabricante del robot investigado/atacado para ayudarle a cambiar las cosas. De momento, no es siempre fácil el entendimiento, pero tampoco ha sido una sorpresa la verdad. Poco a poco.

Imagino que para medir la vulnerabilidad de un robot hay que conocer muy bien sus tripas. ¿Necesario ser cocinero antes que fraile?

Ya tengo mi trayectoria. Alias Robotics es mi tercera empresa y sí, esta startup de investigación híbrida entre ciberseguridad y robótica, una intersección complicada, ha llegado después de más de diez años creando máquinas, fabricando robots y sistemas autómatas. Todo ha ido entrelazándose,  según íbamos andando el camino, y por suerte hemos podido juntarnos este grupo peculiar, con perfiles tan variados como afinados – desde ingenieros a biólogos celulares -, que nos ha permitido llegar justo a lo que queríamos. Ahora nos queda el dónde; poner el foco e intentar que se nos oiga y despertemos el interés con nuestra propuesta.

La que habéis bautizado como Sistema Inmunológico de Robots (RIS), un software que ¿qué hace?

Consiste en recrear amenazas virtuales para exponer a las máquinas y luego prepararlas y reforzarlas para que estén a salvo de virus informáticos. El software lo instalamos en el robot estudiado y evoluciona con él, desarrollando protecciones, según va funcionando. En realidad, lo tratamos como si fuera un cuerpo humano y se le van poniendo vacunas, se le somete a virus, a posibles ataques…, y así se van trabajando las distintas capas de seguridad. Una especie de escucha constante de la interacción de la máquina con su entorno, atendiendo a todos sus elementos, sensores y demás piezas. Todo ello mediante inteligencia artificial.

Estamos muy satisfechos, ya lanzando la primera versión para infraestructuras críticas, como eléctricas, hospitales, etc. Estamos listos para soportar diez robots con RIS y esperamos que a final de año seamos capaces de tener el sistema inmunológico para quince. Además, ahora es muy interesante porque tenemos licencias gratis.

“En los robots que se utilizan para desinfectar superficies en aeropuertos hemos descubierto diez vulnerabilidades”

Los robots que debéis ‘curar’ e inmunizar más son los que están en hospitales, ¿no? ¿Qué ha pasado con el que se usa para desinfecciones antiCovid?

En concreto, en el que indicas, que se usa también para desinfección de superficies en aeropuertos, hemos descubierto diez vulnerabilidades. Resulta que limpian y evitan el contagio aplicando luz ultravioleta, que es muy dañina, y desde fuera, sin ni siquiera estar cerca del robot es posible dirigirlos y por ejemplo montar una fiesta de luces cancerígena por todo lo alto; te lo explico así para que entiendas la que se puede liar de una forma muy sencilla. Por supuesto, no vamos a hacer semejante locura, pero el riesgo está ahí si se quiere hacer mal uso de ellos. Esto está notificado ya desde hace meses al fabricante y por supuesto a INCIBE y al centro vasco de ciberseguridad, BCSC.

En concreto, hemos trasladado nuestra preocupación por la serie de robots MiR de una firma danesa que consideramos no preparados para aplicaciones reales en presencia de amenazas maliciosas. Aparte, se suelen crear otros robots a partir de estos. Hay muchos ejemplos. Ahora con la crisis sanitaria y la necesidad de frenar los contagios se están extendiendo los denominados UVD.

Llevamos tiempo en conversaciones con los directivos de unas y otras empresas y cuesta hacer entender la repercusión y peligro latente. Sus repuestas son tan lentas como a veces ineficaces. Y mientras tanto, siguen pasando cosas…

¿Cómo qué? Quiero pensar que serán siempre excepcionales por graves que sean, ¿es así?

No, no. Los errores no son tan aislados. En 2018 ya se contabilizaban 35.000 robots en la industria; uno por cada diez trabajadores en la línea de montaje. Con esa proporción, por poco que pase, de irrelevante nada. Y luego, el riesgo en potencia es incalculable, y mejor no hacerlo…

¿Quieres un ejemplo? Una máquina que rompe las costillas a un trabajador, eso ocurre, bien porque hay algún fallo en la operación, o porque existe algún atacante interno o externo. Y luego, otro problema añadido. ¿De quién es la culpa cuando pasa algo así? El vacío legal es completo y otro asunto que supone otra emergencia. De hecho, estamos trabajando con universidades sobre ellos, como con la Carlos III.

“En nuestras casas tenemos absolutos espías sin saberlo: esas inocentes aspiradoras robóticas que van solas por la casa limpiando y usan sistema wifi”

¿Y de dónde viene tanto descuido por la seguridad cibernética, cual es la raíz de todo este riesgo? ¿Quizás en que no asociamos este tipo de máquinas a conexiones a la Red, que es lo que a su vez relacionamos con ciberataques?

Algo influye, incluso hay fabricantes que dan ese argumento convencidos de que por ello no están expuestos. En parte es confusión, desconocimiento. Pero es que estamos hablando de automatizaciones que hacen cosas muy importantes y que están totalmente expuestos a ransomwares. En los que funcionan en la industria, los llamados brazos industriales (bueno y también ‘quitatrabajos) el hackeo puede estar a la orden del día.

Sería decisivo que en robótica se tuviera claro que hay dos tipos de seguridad: la física, que procura que el robot no dañe ni a su entorno ni a los humanos, y la digital, que se ocupa de lo contrario, es decir de que no sean estos los que estropeen la máquina. Ambas están absolutamente interrelacionadas, no se puede procurar una sin cuidar la otra. Y aquí entra también la ética y como comentábamos antes, lo legislativo.

Comenta las funciones decisivas y trascendentes que ya se están automatizando. Volviendo a los hospitales. ¿Qué le parece que en vez de cirujanos operen máquinas, aunque sean guiadas por el médico?

Ese es justo el tercer tipo de robot que hemos investigado por la envergadura de su función. Nos preocupa muchísimo que sea una persona sin presencia directa la que controle la máquina. Hacer cirugía debería implicar plenas garantías y eso es lo que estamos estudiando. En realidad, para eso surgió Alias Robotic, es su esencia, poder responder 100% convencidos a la pregunta ¿este robot ‘x’ es ciberseguro?

¿Y los riesgos disminuyen cuanto más pequeño es el robot y menos trascendente su cometido ó estamos en las mismas? En el uso doméstico, por ejemplo.

¡En las mismas, ni lo dudes! Si es que no se sabe… En nuestras casas tenemos absolutos espías sin saberlo. Esas inocentes aspiradoras robóticas que van solas por la casa limpiando usan sistema wifi y por tanto, mandan datos de los mapas de su recorrido, es decir, de nuestros espacios e interacción con estos, horarios, distribución del hogar, etc. Es una completa violación de la privacidad.

Por no hablar de la Thermomix o de otros robots para cocinar, están igualmente conectados a las redes inalámbricas y por consiguiente, al acecho de los virus. ¿Tu no has oído que a veces, según se mete la mano para dejar los ingredientes se activan las cuchillas? Los atacantes, siempre remotos y anónimos, para conseguir beneficios pueden encriptar ficheros y bloquear su uso –ante ese peligro que digo, por ejemplo- y exigir un pago para poder solucionarlo y volver a acceder. Y sí, a lo mejor son minipagos de diez euros, que nadie duda en hacer si la máquina te ha costado mil; y así van sumando y sumando.

¿Todos estos peligros, no los deberíais comunicar más lejos, hasta dónde llegan vuestros informes? Por mucho que ejerzáis de voz de la conciencia, si no trasciende…

La voz de la conciencia es más el papel de los organismos que velan por los temas de ciberseguridad, los CERTs, y nosotros colaboramos con ellos dentro y fuera de España, lógicamente. Al igual que con las grandes empresas, implicadas en la fabricación de robots. Esto es obligado, por norma, al descubrir una vulnerabilidad esta debe volver al origen, ser entregada al fabricante. Chocante, pero real.

Por eso queremos fomentar esa colaboración y ser proactivos, pero el camino no es de rosas. No se incentiva, te suelen esquivar o bien aceptan la ayuda y cuestionan el precio o incluso, no te dan crédito. A veces es todo tan ridículo como frustrante, aunque al menos, existen estos organismos que mencionábamos que nos cuidan para que no se torpedeen las investigaciones.

Desde aquí animo a las empresas interesadas a que se acerquen. Que se unan y se invierta para que las cosas cambien. Los robots ciberseguros deben ser una prioridad, conforme se va extendiendo su uso.

¿Y existe formación acorde a este perfil mixto que propones aunando lo ciber y lo robótico?

Gente capacitada para impartirlo hay mucha, pero no un programa educativo que se plantee así de forma específica y casi tampoco por separado, ciberseguridad y robótica. Va todo tan deprisa y hay tanta demanda que cubrir que no da tiempo a preocuparse o a plantear cruces o complicaciones añadidas como esta. Supongo que se irá avanzando hacia la especialización, pero de momento hay más pretensiones que realidades. Toca arreglarse con equipos multidisciplinares y variopintos para salir adelante. Falta maduración.

Choca, porque ni es un mercado tan reciente ni España tiene mala posición en robótica comparado con otros países.

Es algo relativamente reciente. Robots ya se fabrican desde hace unos años, pero el sector, en general, está en el mismo punto que el de informática hace dos décadas. Igual. Muy incipiente y por eso estos problemas; no hay más que echar la vista atrás.

Sin embargo, es verdad que España está en el top ten de países con más autómatas. A ver si ahora que la conectividad va a más también se empiezan a hacer las actualizaciones de seguridad pertinentes para que aparte de tener muchos, estos estén preparados a prueba de fallos y sobresaltos.