Robótica y ciberseguridad nunca han ido de la mano. Nadie sedaba cuenta porque no había tantos robots. Ahora, cuando han entrado enfábricas, domicilios y hasta hospitales, empiezan a ponerse en evidencia susvulnerabilidades, según se van produciendo accidentes que pueden llegar acausar importantes daños físicos.
Así lo ve Víctor Mayoral Vilches, director técnico y cofundador de la startup vasca Alias Robotics (Vitoria), a la que presenta como “la primera empresa de ciberseguridad robótica del mundo”. El momento no puede ser más dulce para las diez personas que forman el equipo: han abierto su primera delegación en EEUU (Boston) y se encuentran en pleno lanzamiento de su sistema inmunológico para proteger robots – RIS, Robot Immune System -, tras dos años de investigación que han contado con financiación de la UE y del Gobierno Vasco, principalmente.
La parte amarga, sus dificultades para ser bien entendidos yrecibidos por los fabricantes, con quien pretenden colaborar para solucionar “estainseguridad creciente y mayor riesgo de sufrir ataques digitales”. Desdeluego, escucharle hace difícil no llevarse las manos a la cabeza. Y eso, que esevidente que trata de ser cauto para no alarmar; pero es imposible.
Llevabais un par deaños investigando, muy discretos, y de pronto se ha roto el silencio. ¿Supongoque contabais con el ruido que iba a provocar vuestra especialidad, ¿no? Tantopor pionera como por poner en evidencia muchos problemas.
Bueno, es que descubrir y comprobar vulnerabilidades enrobótica es esencial y trascendente, aunque no plato de gusto. Es un asuntoespinoso y de peso: por cada mil trabajadores españoles hay ya unos 16autómatas. Por eso, según avanzan la automatización y la digitalización, es másnecesario vigilar sus garantías, pero al final supone poner el dedo en lallaga, claro. Son temas muy delicados y conflictos muy severos. Digamos queahora está empezando la ola mediática, era previsible, es cierto, pero nuestrointerés no es crear alarma, sino poner solución y reconducir las cosas. Antes dehacer públicas las fallas de seguridad que vamos detectando, el primer paso esponernos al habla con el fabricante del robot investigado/atacado para ayudarlea cambiar las cosas. De momento, no es siempre fácil el entendimiento, perotampoco ha sido una sorpresa la verdad. Poco a poco.
Imagino que paramedir la vulnerabilidad de un robot hay que conocer muy bien sus tripas.¿Necesario ser cocinero antes que fraile?
Ya tengo mi trayectoria. Alias Robotics es mi tercera empresa y sí, esta startup de investigación híbrida entre ciberseguridad y robótica, una intersección complicada, ha llegado después de más de diez años creando máquinas, fabricando robots y sistemas autómatas. Todo ha ido entrelazándose, según íbamos andando el camino, y por suerte hemos podido juntarnos este grupo peculiar, con perfiles tan variados como afinados – desde ingenieros a biólogos celulares -, que nos ha permitido llegar justo a lo que queríamos. Ahora nos queda el dónde; poner el foco e intentar que se nos oiga y despertemos el interés con nuestra propuesta.
La que habéisbautizado como Sistema Inmunológico de Robots (RIS), un software que ¿qué hace?
Consiste en recrear amenazas virtuales para exponer a lasmáquinas y luego prepararlas y reforzarlas para que estén a salvo de virus informáticos.El software lo instalamos en el robot estudiado y evoluciona con él,desarrollando protecciones, según va funcionando. En realidad, lo tratamos comosi fuera un cuerpo humano y se le van poniendo vacunas, se le somete a virus, aposibles ataques..., y así se van trabajando las distintas capas de seguridad.Una especie de escucha constante de la interacción de la máquina con suentorno, atendiendo a todos sus elementos, sensores y demás piezas. Todo ellomediante inteligencia artificial.
Estamos muy satisfechos, ya lanzando la primera versión parainfraestructuras críticas, como eléctricas, hospitales, etc. Estamos listospara soportar diez robots con RIS y esperamos que a final de año seamos capacesde tener el sistema inmunológico para quince. Además, ahora es muy interesanteporque tenemos licencias gratis.
“En los robots que se utilizan para desinfectar superficies en aeropuertos hemos descubierto diez vulnerabilidades”
Los robots que debéis‘curar’ e inmunizar más son los que están en hospitales, ¿no? ¿Qué ha pasadocon el que se usa para desinfecciones antiCovid?
En concreto, en el que indicas, que se usa también paradesinfección de superficies en aeropuertos, hemos descubierto diezvulnerabilidades. Resulta que limpian y evitan el contagio aplicando luzultravioleta, que es muy dañina, y desde fuera, sin ni siquiera estar cerca delrobot es posible dirigirlos y por ejemplo montar una fiesta de lucescancerígena por todo lo alto; te lo explico así para que entiendas la que sepuede liar de una forma muy sencilla. Por supuesto, no vamos a hacer semejantelocura, pero el riesgo está ahí si se quiere hacer mal uso de ellos. Esto estánotificado ya desde hace meses al fabricante y por supuesto a INCIBE y alcentro vasco de ciberseguridad, BCSC.
En concreto, hemos trasladado nuestra preocupación por laserie de robots MiR de una firma danesa que consideramos no preparados paraaplicaciones reales en presencia de amenazas maliciosas. Aparte, se suelencrear otros robots a partir de estos. Hay muchos ejemplos. Ahora con la crisissanitaria y la necesidad de frenar los contagios se están extendiendo los denominadosUVD.
Llevamos tiempo en conversaciones con los directivos de unasy otras empresas y cuesta hacer entender la repercusión y peligro latente. Susrepuestas son tan lentas como a veces ineficaces. Y mientras tanto, siguenpasando cosas...
¿Cómo qué? Quieropensar que serán siempre excepcionales por graves que sean, ¿es así?
No, no. Los errores no son tan aislados. En 2018 ya secontabilizaban 35.000 robots en la industria; uno por cada diez trabajadores enla línea de montaje. Con esa proporción, por poco que pase, de irrelevantenada. Y luego, el riesgo en potencia es incalculable, y mejor no hacerlo...
¿Quieres un ejemplo? Una máquina que rompe las costillas aun trabajador, eso ocurre, bien porque hay algún fallo en la operación, oporque existe algún atacante interno o externo. Y luego, otro problema añadido.¿De quién es la culpa cuando pasa algo así? El vacío legal es completo y otroasunto que supone otra emergencia. De hecho, estamos trabajando conuniversidades sobre ellos, como con la Carlos III.
“En nuestras casas tenemos absolutos espías sin saberlo: esas inocentes aspiradoras robóticas que van solas por la casa limpiando y usan sistema wifi”
¿Y de dónde vienetanto descuido por la seguridad cibernética, cual es la raíz de todo esteriesgo? ¿Quizás en que no asociamos este tipo de máquinas a conexiones a laRed, que es lo que a su vez relacionamos con ciberataques?
Algo influye, incluso hay fabricantes que dan ese argumentoconvencidos de que por ello no están expuestos. En parte es confusión,desconocimiento. Pero es que estamos hablando de automatizaciones que hacencosas muy importantes y que están totalmente expuestos a ransomwares. En los quefuncionan en la industria, los llamados brazos industriales (bueno y también‘quitatrabajos) el hackeo puede estar a la orden del día.
Sería decisivo que en robótica se tuviera claro que hay dostipos de seguridad: la física, que procura que el robot no dañe ni a su entornoni a los humanos, y la digital, que se ocupa de lo contrario, es decir de queno sean estos los que estropeen la máquina. Ambas están absolutamenteinterrelacionadas, no se puede procurar una sin cuidar la otra. Y aquí entratambién la ética y como comentábamos antes, lo legislativo.
Comenta las funcionesdecisivas y trascendentes que ya se están automatizando. Volviendo a loshospitales. ¿Qué le parece que en vez de cirujanos operen máquinas, aunque seanguiadas por el médico?
Ese es justo el tercer tipo de robot que hemos investigadopor la envergadura de su función. Nos preocupa muchísimo que sea una personasin presencia directa la que controle la máquina. Hacer cirugía deberíaimplicar plenas garantías y eso es lo que estamos estudiando. En realidad, paraeso surgió Alias Robotic, es su esencia, poder responder 100% convencidos a lapregunta ¿este robot ‘x’ es ciberseguro?
¿Y los riesgosdisminuyen cuanto más pequeño es el robot y menos trascendente su cometido óestamos en las mismas? En el uso doméstico, por ejemplo.
¡En las mismas, ni lo dudes! Si es que no se sabe… Ennuestras casas tenemos absolutos espías sin saberlo. Esas inocentes aspiradorasrobóticas que van solas por la casa limpiando usan sistema wifi y por tanto,mandan datos de los mapas de su recorrido, es decir, de nuestros espacios einteracción con estos, horarios, distribución del hogar, etc. Es una completaviolación de la privacidad.
Por no hablar de la Thermomix o de otros robots paracocinar, están igualmente conectados a las redes inalámbricas y porconsiguiente, al acecho de los virus. ¿Tu no has oído que a veces, según semete la mano para dejar los ingredientes se activan las cuchillas? Losatacantes, siempre remotos y anónimos, para conseguir beneficios puedenencriptar ficheros y bloquear su uso –ante ese peligro que digo, por ejemplo- yexigir un pago para poder solucionarlo y volver a acceder. Y sí, a lo mejor sonminipagos de diez euros, que nadie duda en hacer si la máquina te ha costadomil; y así van sumando y sumando.
¿Todos estospeligros, no los deberíais comunicar más lejos, hasta dónde llegan vuestrosinformes? Por mucho que ejerzáis de voz de la conciencia, si no trasciende...
La voz de la conciencia es más el papel de los organismosque velan por los temas de ciberseguridad, los CERTs, y nosotros colaboramoscon ellos dentro y fuera de España, lógicamente. Al igual que con las grandesempresas, implicadas en la fabricación de robots. Esto es obligado, por norma,al descubrir una vulnerabilidad esta debe volver al origen, ser entregada alfabricante. Chocante, pero real.
Por eso queremos fomentar esa colaboración y ser proactivos,pero el camino no es de rosas. No se incentiva, te suelen esquivar o bienaceptan la ayuda y cuestionan el precio o incluso, no te dan crédito. A veceses todo tan ridículo como frustrante, aunque al menos, existen estos organismosque mencionábamos que nos cuidan para que no se torpedeen las investigaciones.
Desde aquí animo a las empresas interesadas a que se acerquen.Que se unan y se invierta para que las cosas cambien. Los robots cibersegurosdeben ser una prioridad, conforme se va extendiendo su uso.
¿Y existe formaciónacorde a este perfil mixto que propones aunando lo ciber y lo robótico?
Gente capacitada para impartirlo hay mucha, pero no unprograma educativo que se plantee así de forma específica y casi tampoco porseparado, ciberseguridad y robótica. Va todo tan deprisa y hay tanta demandaque cubrir que no da tiempo a preocuparse o a plantear cruces o complicacionesañadidas como esta. Supongo que se irá avanzando hacia la especialización, perode momento hay más pretensiones que realidades. Toca arreglarse con equiposmultidisciplinares y variopintos para salir adelante. Falta maduración.
Choca, porque ni esun mercado tan reciente ni España tiene mala posición en robótica comparado conotros países.
Es algo relativamente reciente. Robots ya se fabrican desdehace unos años, pero el sector, en general, está en el mismo punto que el deinformática hace dos décadas. Igual. Muy incipiente y por eso estos problemas;no hay más que echar la vista atrás.
Sin embargo, es verdad que España está en el top ten depaíses con más autómatas. A ver si ahora que la conectividad va a más tambiénse empiezan a hacer las actualizaciones de seguridad pertinentes para queaparte de tener muchos, estos estén preparados a prueba de fallos ysobresaltos.