¿Se pueden hackear los Robots industriales?

  1. Un robot no puede hacer daño a un ser humano o, por inacción, permitir que un ser humano sufra daño.
  2. Un robot debe obedecer las órdenes dadas por los seres humanos, excepto si estas órdenes entrasen en conflicto con la Primera Ley.
  3. Un robot debe proteger su propia existencia en la medida en que esta protección no entre en conflicto con la Primera o la Segunda Ley.

Isaac Asimov

Cuando se habla de Robots y hacking, se nos viene a la cabeza películas futuristas como Yo Robot, Robocop, Ghost in the shell incluso el coche fantástico. Y es que en cuanto en nuestra imaginación vemos una máquina que la controla un programa, inconscientemente vemos algo que no es seguro. Sin tener que ir a la ciencia ficción, en el mundo actual nos hacemos la siguiente pregunta:

¿puede verse comprometida la seguridad de los robots?

Esta misma pregunta se ha hecho el departamento de Investigación de la Amenaza del Futuro (FTR) de Trend Micro y colaboradores del Politécnico de Milan (POLIMI). Estos equipos han estudiado los robots industriales y para averiguar de que forma se podría conseguir hacerse con el control del robot o que ejecutase ordenes para las cuales no se había programado. Resolver esta cuestión es de suma importancia ya que cada vez dependemos mas de los robots al igual que dependemos de los ordenadores y ha quedado claro que los ordenadores, por el momento, son muy “hackeables”.

Para evitar lo que vemos en las películas y estos se vuelvan contra nosotros Trend Micro quiere adelantarse preparandose desde ya mismo y empezando por educar a quienes los programan y utilizan.

Ya no solo se trata de que el hacking lo pueda estropear o hacer que queden inoperativos otros equipos, recordemos el caso del Stuxnet que comprometió a una central nuclear, sino de asegurar de que lo que fabrican no haga cosas diferentes a su propósito. Un robot industrial hackeado podría fabricar una pieza de un avión que luego provocara un dramático accidente.

¿De que formas se puede atacar a un robot?

Para averiguar como se puede atacar un robot habrá que ver de que partes se compone e intentar encontrar partes vulnerables en cada una de ellas.

A grandes rasgos un robot industrial se compone de la siguiente arquitectura:

  • El Operador, quien está a cargo del trabajo o mantenimiento.
  • El programador, quien realiza la programación que será ejecutada por el controlador
  • El Robot, conjunto de piezas, motores y sensores que realizan los movimientos necesarios para la tarea para la que están concebidos.
  • El programa, conjunto de ordenes que serán interpretadas por el controlador.
  • El controlador, ordenador que ejecuta el programa dando ordenes de movimientos.

Estudiando estos componentes, los equipos de FTR y de POLIMI, han sido capaces de determinar cinco clases de ataques posibles. Estos ataques serian posibles tras explotar cualquiera de las vulnerabilidades halladas en los componen de la arquitectura.

Tras el exhaustivo análisis de seguridad, han encontramos que el software que se ejecuta en robots industriales suele estar desactualizado, esta compuesto de bibliotecas vulnerables,  dependiendo a veces de sistemas operativos obsoletos. Tambien carecen de sistemas de autenticación o son muy débiles. Además se encontró decenas de miles de dispositivos industriales con direcciones IP públicas, lo que podría incluir robots industriales expuestos directamente a internet, aumentando aún más los riesgos y la facilidad para que un atacante pueda acceder.

Tipos de ataques

1 Ataque Modificando los parámetros del controlador

El atacante altera el sistema de control para que el robot se mueva inesperadamente o incorrectamente, a voluntad del atacante.

  • Efectos Concretos: Productos defectuosos o modificados
  • Requisitos Violados: Seguridad, Integridad, Precisión

2 Ataque Alterando los parámetros de calibracion

El atacante cambia la calibración para hacer que el robot se mueva inesperadamente o incorrectamente, a voluntad del atacante.

  • Efectos de directos: Daños en el robot, en la producción e incluso en los propios operarios.
  • Normas Violadas: Seguridad, Integridad, Precisión

3 MODIFICANDO la programación lógica de la producción

El atacante manipula el programa ejecutado por el robot para introducir defectos en la pieza de trabajo.

  • Efectos Concretos: Productos defectuosos o modificados
  • Requisitos Violados: Seguridad, Integridad, Precisión

4 Alterando LA información que se obtiene del robot

El atacante manipula la información de estado para que el operador no sepa el verdadero estado del robot.

  • Efectos Concretos: Lesiones del Operador
  • Requisitos Violados: Seguridad

5 Alterando el estado del Robot

El atacante manipula el estado físico del robot para que el operador pierda el control o se pueda lesionar.

  • Efectos Concretos: Lesiones del Operador
  • Requisitos Violados: Seguridad

¿Consecuencias de estos ataques?

En cualquiera de los ataques expuestos con anterioridad, son posibles los siguientes escenarios de amenazas.

  • Alteración o sabotaje del resultado de la producción: Belikovetsky, demostró cómo al introducir defectos prácticamente invisibles en un producto se puede provocar el mal funcionamiento del producto.
  • Esquemas de tipo ransomware: los atacantes pueden alterar los productos y luego ponerse en contacto con el fabricante pidiendo un rescate para revelar qué lotes se han visto afectados.
  • Daño físico: un atacante que puede controlar un robot puede dañar alguna de sus partes, alterar los dispositivos de seguridad o incluso causar lesiones a las personas.
  • Interferencias en el proceso de la cadena de producción: un atacante puede hacer que un brazo robótico se comporte de manera errática, causando daños a partes de la línea de producción o cuellos de botella provocando pérdidas financieras.
  • Extracción de datos sensibles: a veces los robots almacenan datos sensibles, código fuente, volúmenes de producción o secretos industriales.

¿Como nos podemos preparar?

Los estándares de los robots industriales deben considerar las amenazas de ciberseguridad de la misma manera que lo han hecho los estándares ICS (Industrial Control Systems) y los del sector de automoción, que han evolucionado para mitigarlos. Los responsables de seguridad deben comprender la importancia que tienen los robots industriales y todo lo que pueden provocar con el fin de asegurarlos.

Los sistemas de seguridad tienen que empezar desde la propia fabricación del robot y su programación hasta el fin de sus días de producción, ya que va ha ser una vida larga, siempre tendrá que estar actualizado y preparado para resistir la, tambien constante evolución, de los ataques.

IBM y CISCO unen fuerzas contra el ciber-crimen

Cada vez vemos con agrado que las marcas líderes en tecnología inviertan en productos que ayuden a los usuarios o clientes y les protejan del uso malintencionado de los avances cibernéticos. Lo que no es tan avitual que dos marcas líderes aúnen recursos para un mismo fin.

Colaboración Entre IBM y CISCO

Este es el caso de IBM y CISCO en los que sus equipos de investigación de seguridad, IBM X-Force y CISCO Talos, se coordinaran para dar soluciones ciberneticas de seguridad. IBM que lidera infraestructuras de servidores y usa plataformas como Cognitive Security OperationsResilient Incident Response unirá fuerzas con CISCO que lidera la protección de las comunicaciones con productos como firewals de nueva generación (NGFW) y sistemas de protección de intrusiones (IDS).

Declaraciones de apoyo

David Ulevitch, vicepresidente y director general de la división de Seguridad en Cisco: “La estrategia de seguridad de Cisco, basada en arquitectura, permite a las organizaciones detectar las amenazas una vez y detenerlas en todas partes. Al combinar el completo porfolio de seguridad de Cisco con la plataforma de respuesta y operaciones de IBM Security, ofrecemos las mejores soluciones y servicios de seguridad a través de la red, los terminales y el Cloud, combinados con analítica avanzada y capacidades de orquestación”.

Marc van Zadelhoff, director general de IBM Security: “Se espera que el ciber-crimen suponga, a nivel mundial, un coste anual de 6 billones de dólares en 2021. Por esta razón, IBM apuesta desde hace tiempo por la colaboración abierta y la compartición de conocimiento para luchar frente a las ciber-amenazas. Con la colaboración de Cisco, los clientes conjuntos ampliarán enormemente su capacidad para optimizar el uso de tecnologías cognitivas como IBM Watson for Cybersecurity. Además, la colaboración entre los equipos de IBM X-Force y de Cisco Talos supone un gran avance en la lucha de los ‘buenos’ frente al ciber-crimen”.

Enlaces de interés

 

10 consejos para dispositivos conectados

Muchas veces compramos y usamos “wearables” sin darnos cuenta que estos suelen estar conectados a internet. Tambien el uso extendido de las aplicaciones de los smartphones se realiza sin pararse a pensar que es exactamente lo que hacen.
Por eso la Agencia Española de Protección de Datos elaboró el pasado diciembre de 2016 un listado de 10 claves en materia de privacidad y seguridad. Hoy todavía sigue estando de actualidad.

10 consejos de seguridad y privacidad a tener en cuanta cuando tenemos dispositivos conectados

1.  Tu cuerpo dice más de lo que crees. La tecnología ‘vestible’ (pulseras, relojes, podómetros, etc.) incorpora sensores que registran y pueden transferir información sobre hábitos y costumbres del usuario, tanto al fabricante como a terceros. Si los utilizas para monitorizar tu actividad física, es recomendable comprobar quién está recogiendo los datos que aportas, para qué los va a utilizar y si los va a ceder a otros. Si vas a subir estos datos a una red social intenta dar la menor información personal posible al registrarte y elimina o limita el acceso a tu ubicación siempre que puedas, ya que a partir de este dato se puede inferir mucha más información sobre ti de la que imaginas.


2. 
Una ventana indiscreta.
Buena parte de los dispositivos incorporan cámaras que aportan funcionalidades añadidas. Desconéctala o tápala con una cinta adhesiva si no la estás utilizando para evitar que un extraño pueda verte si se hace con el control del dispositivo sin que te des cuenta. Por otro lado, en el caso de un dron, además de la normativa aeronáutica, ten en cuenta que si difundes por internet imágenes en las que se pueda identificar a las personas que aparecen en ellas, necesitarás tener su permiso o consentimiento.

Dispositivos vulnerables. Bloquea la pantalla de inicio y utiliza un código de desbloqueo lo más largo posible. Además, actualiza el software de tus dispositivos siempre que sea posible para evitar que sean vulnerables ante un posible hackeo y valora instalar algún programa que te proteja ante el software malicioso. Desactiva el bluetooth si no vas a utilizarlo y la conexión automática a wifis abiertas, ya que pueden ser una puerta de entrada para posible ataques.

4.  Protege tus datos ante pérdidas o robos. Localiza en las opciones de configuración del terminal la forma en la que podrías acceder a distancia a su contenido para eliminarlo y piensa si te interesa utilizar una aplicación para realizar el borrado remoto. Valora si además quieres bloquear algunas aplicaciones que contengan información sensible y, en cualquier caso, realiza copias de seguridad con frecuencia.

5.  Apps: no aceptes sin leer. Antes de instalar una aplicación, consulta su política de privacidad para comprobar quién va a recoger qué datos sobre ti y qué va a hacer con ellos. Valora también los comentarios de otros usuarios, ya que en ocasiones pueden aportarte información útil. Además, comprueba periódicamente las apps instaladas y qué permisos les has concedido, y elimina aquellas que ya no utilices.

6.  La ubicación no siempre es necesaria. Configura tu dispositivo móvil para que las apps te pidan permiso para acceder a tu ubicación y comprueba si tus redes sociales difunden tu posición. Activa la geolocalización manualmente sólo cuando la necesites.

7.  Juguetes conectados. Comprueba en primer lugar si pueden captar la voz o la imagen de los menores, entre otros datos, mientras juegan con ellos y dónde se almacenan. Revisa la política de privacidad para consultar qué permisos estás concediendo y a quién sobre esos datos. Si te piden que registres el juguete online para obtener funciones adicionales, averigua cual será el destino de la información personal facilitada y para qué se utilizará.

8.  Demasiadas contraseñas. Las contraseñas deben ser robustas y es necesario utilizar una diferente para cada servicio. ¿Cómo recordarlas todas? Es recomendable utilizar un gestor de contraseñas que las almacene cifradas en el dispositivo y que, para acceder a ellas, utilices lo que se conoce como una contraseña maestra. En cualquier caso, evita tener las contraseñas almacenadas en tu correo electrónico o en un documento sin seguridad.

9.  Menores: edúcales. El diálogo y la supervisión son las mejores herramientas cuando los menores entran en contacto con la tecnología. Es recomendable acordar con ellos para qué van a utilizar los dispositivos y valorar si se quieren instalar herramientas de control parental. Es aconsejable que si los padres quieren instalar un software de localización en el dispositivo para conocer la ubicación del menor, lo hablen previamente con él.

10. ¿Sabes dónde compras? Asegúrate en primer lugar de que la dirección web de la página es en la que realmente quieres comprar y, antes de facilitar tu información, comprueba quién y para qué la utilizará, revisando especialmente si la política de privacidad identifica al responsable y si muestra su domicilio social. Presta especial atención a las casillas que te piden permiso para utilizar tu información para enviarte publicidad y no las marques si no te interesa, ya que no es obligatorio. Sospecha de las páginas que ofrecen precios excesivamente bajos y si te surgen dudas busca una alternativa que te aporte más confianza y seguridad.

Mas información

Se puede ampliar información sobre estos consejos, así como encontrar recomendaciones adicionales en la ‘Guía de privacidad y seguridad en internet’ realizada por la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad (INCIBE), que incluye 18 fichas con consejos prácticos para reducir los riesgos en un mundo hiperconectado.

Ciberseguridad en España a nivel internacional

Hay noticias que pasan desapercibidas, o es que evolucionan tan lentamente que no se aprecia su consecuencia, pero creo que esta merece darle algo de eco. Para muchos habrá cosas que ni sabía que hacia nuestro país en materia de ciberseguridad, por ello, casi lo mas importante de esta entra son los recursos que encontraréis al final de ella.

El Ministerio de Asuntos Exteriores y de Cooperación trabaja internacionalmente en Ciberseguridad.

El Consejo Nacional de Ciberseguridad ha aprobado 9 planes que desarrollan las líneas de acción contenidas en la “Estrategia de Ciberseguridad Nacional”. El MAEC es el encargado de coordinar el plan nº8 “Cooperación internacional y UE” vinculado con la línea de acción 8 cuyo objetivo es “promover un ciberesapcio internacional seguro y confiable en apoyo a los intereses nacionales”.

noticia_normal

Plan de Cooperación Internacional y UE

El “Plan de Cooperación Internacional y UE” tiene un carácter eminentemente transversal ya que la cooperación internacional afecta también a otras líneas de acción como la lucha contra el ciberdelito y el ciberterrorismo, la protección de las infraestructuras críticas o la ciberdefensa. En el plan se concretan las actividades que deberán ejecutarse bajo la fiscalización del CNSC. Además, se incluyen plazos, una previsión de los necesarios y un modelo de gobernanza que identifica al Ministerio y a los organismos que deben poner en marcha las tareas y que pueden colaborar.

El plan recuerda la importancia de la cooperación internacional en materia de ciberseguridad y la necesidad de defender en los foros internacionales un ciberespacio libre y seguro que garantice el Estado de Derecho, la democracia y los derechos humanos. Además, se citan como referencias legales la “Estrategia de Seguridad Nacional”, la “Estrategia Nacional de Ciberseguridad” y la “Estrategia de Ciberseguridad de la UE”. Además, se citan la “Ley de Acción y del Servicio Exterior” y la normativa internacional sobre cuestiones de seguridad de la información.

Los ejes de acción del Plan son siete:

  1. – Visibilidad: Potenciar la presencia de España en organizaciones y foros internacionales y regionales sobre ciberseguridad, participando activamente en las diversas iniciativas y coordinando la posición de los agentes nacionales implicados.
  2. – Cooperación: Promover la armonización legislativa y la cooperación judicial y policial internacionales en la lucha contra la ciberdelincuencia y el ciberterrorismo.
  3. – Unión Europea (UE): colaborar en la armonización de legislaciones nacionales y cumplir las recomendaciones de la “Estrategia de Ciberseguridad de la UE”.
  4. – OTAN: Promover la cooperación con la OTAN en materia de ciberdefensa.
  5. – Cooperación bilateral: Promover la colaboración internacional con nuestros socios y aliados estableciendo diálogos bilaterales sobre ciberseguridad.
  6. – Ejercicios internacionales: Promover la participación coordinada de instituciones públicas y privadas en simulacros y ejercicios internacionales.
  7. – Construcción de capacidades: Colaborar en la construcción de capacidades en aquellos países que lo necesiten, tanto en el ámbito operativo como institucional.

Tambien existe una estrategia de Acción Exterior

La “Estrategia de Acción Exterior” es el instrumento de planificación y seguimiento de la política exterior del Estado. Aprobada en 2014, identifica la ciberseguridad como una de las cuestiones prioritarias dentro del mantenimiento y promoción de la paz y la seguridad internacionales. Al MAEC se le asignan las siguientes atribuciones:

ciberseguridad-agenda-cio_hi

  • – Ejecutar el “Plan de Cooperación Internacional y Unión Europea” en el marco del “Plan Nacional de Ciberseguridad”.
  • – Participar en el Grupo de Expertos de Ciberseguridad de Naciones Unidas establecido en virtud de la Resolución 68/243 de 2013.
  • – Participar en las iniciativas de la UE sobre ciberseguridad en coordinación con la Secretaría de Estado para la UE que participa en las reuniones del Grupo de “Amigos de la Presidencia” para cuestiones cibernéticas (grupo asociado al COREPER).
  • – Participar en el Grupo Informal de Trabajo de la OSCE creado en virtud de la Decisión del Consejo Permanente Nº 1039 de 2012, sobre elaboración de Medidas de Fomento de la Confianza para reducir los riesgos del uso de TICs.

El Programa de España

España como miembro no permanente del Consejo de Seguridad de NNUU (2015-2016) tiene un programa que establece entre sus prioridades “los nuevos desafíos globales a la paz y seguridad internacionales”, incluyendo la ciberseguridad.

Los objetivos son dos:

  1. -Sensibilizar sobre los riesgos y amenazas para la seguridad internacional en el ciberespacio y sobre la importancia de la cooperación internacional. Así, se promoverá la aprobación de medidas de fomento de la confianza y la construcción de capacidades en los países que lo necesiten.
  2. -Organizar un debate sobre ciberseguridad que impulse la cooperación internacional y contribuya a alcanzar el consenso internacional sobre la materia.

España en el Foro Global para la Ciber-Experiencia

gfce

El Foro Global para la Ciber Experiencia, Global Forum on Cyber Expertise” (GFCE), fue lanzado oficialmente durante la Conferencia Global sobre el Ciberespacio 2015 (GCCS 2015), celebrada en La Haya el 16 de abril de 2015, con el fin de fortalecer los esfuerzos de creación de capacidades cibernéticas en una escala global. Su objetivo es proporcionar una plataforma informal para los responsables políticos, expertos y empresas privadas para discutir las mejores prácticas, intercambiar conocimientos y compartir experiencias en el ámbito de la ciberseguridad, delitos informáticos, protección de datos y e-Gobierno.

Una vez finalizadas las formalidades previstas en los documentos fundacionales del GFCE, con fecha 22 de julio de 2015 se recibió la confirmación de la aceptación de la adhesión de España a dicho Foro, cuya puesta en marcha tuvo lugar también en La Haya los días 2 y 3 de noviembre de 2015. El evento congregó a 77 participantes, 66 de ellos en representación de 38 Miembros del GFCE (entre ellos España por el Embajador en Misión Especial para la Ciberseguridad, D. Ricardo Mor Solá), y 11 de ellos en representación de 9 organizaciones asociadas. La apertura oficial fue hecha por Uri Rosenthal, Ex Ministro de Asuntos Exteriores y actual Enviado Especial del Gobierno de Países Bajos para la Ciberseguridad.

Iniciativas Españolas en el GFCE

gfce_logo

En el lanzamiento del GFCE se promovió el lanzamiento otras iniciativas potenciales, entre las que figuran dos con participación de España.

  1. Iniciativa en curso con participación de España
    Se trata de la “Iniciativa de Seguridad Cibernética en los Estados Miembros de la OEA”, cuyos iniciadores son la OEA, México y España. En esencia, a través de dicha iniciativa la OEA apoya a los gobiernos de la región iberoamericana en la elaboración de estrategias nacionales de ciberseguridad, organiza cursos de formación, ejercicios CSIRT (Computer Security Incident Response Team) y ejercicios de gestión de crisis. En colaboración con varios gobiernos como México y España, se trata de incrementar la seguridad cibernética de la región en general.
  2. Presentación de nueva iniciativa por España en el ámbito de la Protección de Infraestructuras Críticas de la Información (CIIP)
    Se trata de una iniciativa de nuevo cuño generada en el marco de la Conferencia Meridian 2015 sobre CIIP, celebrada del 21 al 23 de octubre en León con el co-patrocinio de los Ministerios del Interior; Industria Energía y Turismo; y Asuntos Exteriores y de Cooperación. La iniciativa, que cuenta también con el apoyo de Países Bajos, Suiza y Noruega, tiene como objetivo prestar asistencia a los responsables políticos en la comprensión de las implicaciones de la CIIP, para crear conciencia para la importancia de la protección de las infraestructuras críticas como un componente vital de la ciberseguridad cibernética, y apoyar una proyección pública más amplia de los esfuerzos llevados a cabo por el proceso Meridian, cuya próxima conferencia tendrá lugar en México próximamente en 2016.

 

Recursos y Fuentes

Seguro que te van a ser de mucha utilidad los siguientes recurso y me lo agradecerás con un like.

 

#CONPILAR17

Estuvimos en la C0nPilar 2017 y esto es todo lo que pasó:

Primera jornada

El viernes abrimos boca, nunca mejor dicho, con unas birritas en una Hack&Beers en las que nos hablaron de seguridad en diferentes ámbitos.

 

Segunda jornada

  • Taller detectives criptológicos
  • La hora del C0DIG0
  • Decálogo del buen comportamiento en la vida virtual
  • Yo quiero tener un millón de wifis

 

Tenemos la foto de los futuros Hackers:

 

Ya estamos deseando de que llegue el año que viene.

Se despiden de nosotros todos los colaboradores, presentadores y ganadores.