Un equipo de investigadores de la firma española Alias Robotics, especializada en ciberseguridad robótica,  junto con expertos en ciberseguridad de varias multinacionales y Gobiernos, han descubierto cerca de una quincena de peligrosas vulnerabilidades, algunas críticas, en  Sistema Operativo de Robots (ROS, en sus siglas en inglés) y los protocolos de comunicaciones DDS que afectan a los sistemas y robots industriales y, vulnerabilidades que de ser utilizadas por cibercriminales, podrían tener “devastadoras consecuencias”.

Estos falos de seguridad están presentes en casi 650 dispositivos diferentes expuestos en Internet y utilizados no solo en la industria, sino en el campo de la salud o en ámbitos militares. El ROS y el DDS (Data Distribution Service” o Servicio de Distribución de Datos) están presentes en coches autónomos, brazos robóticos industriales, sistemas aeroespaciales, equipamientos militares, infraestructuras críticas, entre otros.

Las vulnerabilidades afectan a DDS, un ‘software intermedio’ (middleware) que es el principal bus de comunicaciones entre diferentes dispositivos robóticos, el núcleo de ROS (Robot Operating System), que usan la mayoría de ingenieros para todo tipo de robots industriales o quirúrgicos.

Alias Robotics avisa que “DDS es un middleware de comunicaciones todavía ampliamente inseguro, que se utiliza en áreas donde la seguridad es muy importante, por lo que hace falta inversión en ciberseguridad de forma inmediata”. Los tiempos de respuesta de los fabricantes de DDS son largos, “lo cual expone mucho estos sistemas a
ciberataques”, advierte Víctor Mayoral–Vilches, investigador y fundador de la ‘startup’ vitoriana.

“Cibercriminales podrían utilizar estas vulnerabilidades para paralizar robots e infraestructuras críticas por todo el mundo”, recalca Víctor Mayoral–Vilches. Desde la compañía vitoriana se alerta que es necesario que las empresas de robótica y de automatización inviertan en ciberseguridad y cooperen “con grupos cualificados en la
ciberseguridad robótica”.

Los resultados de esta investigación son el fruto de la colaboración de varios investigadores que incluyen a Víctor Mayoral–Vilches (Alias Robotics), Federico Maggi, Mars Cheng, Patrick Kuo, Chizuru Toyama, Rainer Vosseler, y Ta–Lun Yen (Trend Micro y TxOne) y Erik Boasson (ADLINK Labs).

Las conclusiones de la investigación son “devastadores” por las consecuencias que podrían tener en caso de utilización delictiva por parte de hackers informáticos, dado que buena parte de estas vulnerabilidades “solo han sido parcheadas o mitigadas por los
fabricantes”

El equipo liderado por Alias Robotics ha llegado a detectar hasta 13 vulnerabilidades de seguridad (algunas calificadas como “críticas” por expertos en ciberseguridad), que podrían afectar tanto a trabajadores y usuarios que manejan los robots industriales
que incluyen este software DDS. Y no se descarta la aparición de nuevas vulnerabilidades a medida que se profundice en el estudio.

Alias Robotics han detectado dispositivos afectados por estas vulnerabilidades en organizaciones como la NASA, centros mundiales de datos (Huawei Cloud Service),
grandes multinacionales industriales (Siemens), hospitales, bancos y universidades de 34 países, afectando a 100 organizaciones a través de 89 proveedores de servicios de Internet (ISP).

Principales vulnerabilidades

Las vulnerabilidades detectadas pueden llegar a suponer la pérdida de control del dispositivo robótico, la pérdida de seguridad del mismo, la denegación de servicios mediante la fuerza bruta, la posibilidad de facilitar el acceso al dispositivo mediante la explotación de servicios remotos, o bien problemas en la cadena de suministro o el que los atacantes abusen de los propios de protocolos de seguridad para crear un canal de mando y control eficiente.

Muchas de estas vulnerabilidades de seguridad –algunas incluso con el código fuente
(propietario) expuesto a todo el público– han estado abiertas “por mucho tiempo, incluso años», insisten Víctor Mayoral–Vilches,

“Todavía muchos fabricantes de dispositivos robóticos priorizan el desarrollo de su negocio y continúan ignorando la ciberseguridad, se niega a resolvre esos problemas porque si lo hicieran incumplirían la norma/especificación de DDS. Éste es un problema de magnitud, ya que la revisión de la norma de DDS puede tardar años en ser revisada de forma apropiada”, recalca el fundador de Alias Robotics.

Para mitigar las amenazas encontradas y capacitar a ingenieros de robótica en materia de seguridad, el equipo de Alias Robotics ha liderado un segundo esfuerzo de investigación que ha producido y liberado con licencia de código abierto una serie de herramientas que permiten detectar estas
vulnerabilidades en ROS 2 y DDS.
Los resultados de este esfuerzo han sido resumidos en el artículo
“SROS2: Usable Cyber Security Tools for ROS 2” que ha sido enviado a la
Conferencia Internacional de Robots y Sistemas (IROS 2022), uno de los
eventos más relevantes cada año en el sector de la robótica y que se dará
cita en Kioto (Japón) el próximo 23 de octubre.