La obsolescencia programada de los robots, un grave riesgo para la ciberseguridad industrial

Fecha de publicación
Cateogría del artículo Tecnología
Visualizaciones del artículo Leído  1492  veces

Alias Robotics y Trend Micro alertan en un estudio que es imprescindible impulsar "el derecho a la reparación abierta en robótica" para combatir la obsolescencia. La investigación reveló más de 100 vulnerabilidades que afectan a UR y MiR, extrapolables a otros fabricantes.

La obsolescencia programada de los robots, un grave riesgo para la ciberseguridad industrial

Víctor Mayoral-Vilches, investigador de seguridad robótica de Alias ​​Robotics, presentó el estudio en la pasada Black Hat de Las Vegas

Alias Robotics y Trend Micro se han unido para impulsar la ciberseguridad en el ámbito de la robótica industrial y colaborativa. La primera acción de esta alianza, en la que se prevé el intercambio de inteligencia en el campo de la ciberseguridad de robots, ha sido una investigación basada en el desmontaje de cobots para para estudiar sus arquitecturas de hardware. La investigación, realizada en colaboración con la Universidad de Klangenfurt (Austria) y cuyas conclusiones fueron presentadas en el Black Hat 2021 de agosto de Las Vegas, revela que "la complejidad inherente de los sistemas robóticos provoca amplias posibilidades de ataque potenciales que los fabricantes no están mitigando en períodos de tiempo razonables". El motivo: la obsolescencia programada de los componentes de los robots que utiliza la industria y el dificil acceso a un sistema abierto de reparación para este tipo de tecnología.

La investigación, que puede ser interpretada como un ataque directo al ecosistema de robots colaborativos –que basa su sistema de reparación en el acceso preferente a partners cualificados en los que solo ellos pueden acceder a la compra exclusiva de componentes propietarios– tiene su lógica según Federico Maggi, investigador senior de Trend Micro: "el 'derribo' de robots es para la seguridad industrial lo que la ingeniería inversa es para la seguridad del software. Ambas habilidades son fundamentales para la futura generación de profesionales de la seguridad".

"La construcción de un robot requiere una selección cuidadosa de componentes que interactúan a través de las redes mientras se cumplen los plazos. Dada la complejidad asociada, a medida que los robots se dañen o la seguridad se vea comprometida, sus componentes requerirán cada vez más actualizaciones y reemplazos. La mayoría de los fabricantes de robots se oponen a esto. Emplean prácticas de obsolescencia planificada que organizan a los distribuidores e integradores de sistemas en 'redes privadas', proporcionando piezas de repuesto sólo a empresas 'certificadas' para desalentar las reparaciones y evadir la competencia", señala el informe.

El estudio presenta y defiende el desmontaje de robots como una vía válida para estudiar las arquitecturas de hardware de los mismos y comprobar su ciberseguridad. "Mostramos cómo el desmontaje puede ayudar a comprender el hardware subyacente y demostramos cómo nuestro enfoque puede ayudar a los investigadores a descubrir vulnerabilidades de seguridad", detalla Víctor Mayoral-Vilches, investigador de Seguridad Robótica de Alias Robotics.

El informe destaca que, dado el alto precio de los robots, es razonable considerar la necesidad de reparar estas máquinas, reemplazando a menudo componentes defectuosos individuales para un funcionamiento continuo, o simplemente para reutilizarlos. Sin embargo, la investigación basada en el desmontaje del UR3 CB3.1, el UR3e y el MiR-100 demuestra la imposibilidad de reemplazar ciertos elementos del hardware de estos robots para su reparación o actualización, lo que provoca la existencia de más de 100 vulnerabilidades en estos tres casos de estudio, las que son extrapolables a otros fabricantes, según los autores.

"No encontramos ninguna razón real por la que la compatibilidad hacia atrás o hacia adelante entre los controladores y los brazos robóticos no debería ser posible", comenta el estudio "Esto significaría que los clientes existentes con robots UR3 podrían reparar y reemplazar piezas en el controlador o en el brazo robótico, sin verse obligados a pagar el precio superior de comprar un juego nuevo completo que incluya ambos. Como era de esperar, observamos que el fabricante introdujo cambios sutiles destinados a dificultar esta intención en particular. Una de esas acciones muestra el reemplazo del conector del controlador al brazo, que solo podemos justificar con intentos ejercer prácticas de obsolescencia. Otra de estas acciones incluye la dificultad para reconocer los cambios introducidos en el propio brazo robótico UR3e. Estos cambios se pueden resumir con la adición de un sensor de fuerza-par de 6 ejes adicional al final del robot. Se puede lograr exactamente el mismo resultado en los brazos de robot UR3 agregando componentes de robot comerciales listos para usar, obteniendo tales capacidades".

Para los autores del informe, el caso de Teradyne es de especial interés "porque sus robots se anuncian como colaborativos, es decir: diseñados para aumentar las capacidades humanas cooperando estrechamente (físicamente) sin causar ningún daño. Sin embargo, investigaciones anteriores insinúan que la falta de medidas de seguridad en estos robots conduce a peligros para la seguridad". InfoPLC++ se puso en contacto tanto con UR como MiR en España para conocer su opinión respecto al informe y ambas firmas declinaron hacer valoraciones.

La lucha contra la obsolescencia programada

La Comisión Europea (CE) ya ha mostrado su preocupación por la obsolescencia programada en un informe de 2019 que propone diferentes sistemas de puntuación para reparar y actualizar productos orientados al consumidor, incluidos los robots. Más recientemente, y como parte del Plan de acción para la comunicación de la economía circular la CE ha mostrado su compromiso de establecer un nuevo "Derecho a reparar" en el contexto de la revisión de la Directiva 2019/771. En este contexto, se viola el derecho a reparar enlos siguientes supuestos:

- Hacer que los artículos sean difíciles de reparar (aumentando el costo de reparación, requiriendo herramientas especiales, etc.)
- No proporcionar información (por ejemplo, no se proporcionan manuales)
- Obsolescencia sistemática (hacer que las partes de los modelos sean incompatibles o hacer que sea imposible reparar modelos más nuevos con partes de los modelos más antiguos)
- Numeración (cambiar con frecuencia los números de modelo para que sea psicológicamente menos atractivo el uso de modelos antiguos)
- Enfoques legales (prohibir el acceso y la modificación de la estructura interna de los productos mediante derechos de autor y patentes)

Más información