El mundo está evolucionando con gran rapidez hacia una mayor digitalización y movilidad de los servicios, y son muchas las industrias y hogares que confían en la automatización y en el uso de sistemas robóticos. De hecho, y según algunas previsiones, estos sistemas robóticos se convertirán en una tendencia en los hogares con mayor poder adquisitivo en 2040. En la actualidad, la mayoría de estos sistemas se encuentran en fase de investigación académica y es demasiado pronto para discutir cómo integrar medidas de ciberseguridad en ellos. Sin embargo, el experimento llevado a cabo por Kaspersky y la Universidad de Gante ha descubierto una nueva e inesperada dimensión de riesgo asociada con la robótica: el impacto social que tiene en el comportamiento de las personas, así como el peligro potencial y los nuevos vectores de ataque.
La investigación se centró en el impacto producido por un robot diseñado y programado para interactuar con personas utilizando canales “humanos” tales como el habla o la comunicación no verbal. En la investigación participaron unas 50 personas. Asumiendo que los robots sociales pueden piratearse, y que un atacante puede tomar el control, la investigación contempló los riesgos potenciales de seguridad relacionados con la posibilidad de que un robot influya activamente en los usuarios para que realicen ciertas acciones, entre ellas:
- Acceso a zonas restringidas. El robot fue situado cerca de una entrada de seguridad de un edificio de uso mixto (viviendas y oficinas) en el centro de la ciudad de Gante, Bélgica, y preguntó al personal si podía entrar con ellos. Normalmente, sólo se puede acceder al área a través de unas puertas con lectores de acceso. Durante el experimento, no todo el personal cumplió con la petición del robot, aunque un 40% le abrió la puerta para permitirle el acceso a la zona “segura” del edificio. Pero cuando el robot se situó como repartidor de pizza, sosteniendo una caja de una conocida marca de comida a domicilio, el personal aceptó fácilmente el cometido del robot y cuestionó menos su presencia o las razones por las que necesitaba tener acceso al edificio.
- Extraer información sensible. La segunda parte del estudio se centró en la obtención de información personal que normalmente se utilizaría para restablecer contraseñas (incluyendo fecha de nacimiento, marca del primer coche, color favorito, etc.). Una vez más, se utilizó el robot, esta vez invitando a la gente a tener una conversación amistosa. Con todos menos con uno de los participantes, los investigadores lograron obtener información personal a un ritmo de aproximadamente un dato por minuto.
En relación con los resultados del experimento, Dmitry Galov, Investigador de Seguridad de Kaspersky, comentó: “Al principio de la investigación examinamos el software utilizado en el desarrollo de sistemas robóticos. Curiosamente, descubrimos que los diseñadores toman la decisión consciente de excluir los mecanismos de seguridad y se centran en la comodidad y la eficiencia. Sin embargo, como han demostrado los resultados de nuestro experimento, los desarrolladores no deberían olvidarse de la seguridad una vez finalizada la fase de investigación. Además de las consideraciones técnicas, hay aspectos clave de los que preocuparse cuando se trata de la seguridad en la robótica. Esperamos que nuestro proyecto conjunto y nuestra incursión en el campo de la ciberseguridad robótica con nuestros compañeros de la Universidad de Gante anime a otros a seguir nuestro ejemplo y a sensibilizar a la opinión pública y a la comunidad sobre el tema“.
Tony Belpaeme, profesor de Inteligencia Artificial y Robótica en la Universidad de Gante, añadió: “La literatura científica indica que la confianza en los robots, y específicamente en los robots sociales, es real y puede utilizarse para persuadir a la gente a actuar o revelar información. En general, cuanto más humano es el robot, más poder tiene para persuadir y convencer. Nuestro experimento ha demostrado que esto podría conllevar riesgos de seguridad significativos: la gente tiende a no considerarlos un riesgo, asumiendo que el robot es benevolente y fiable. Esto ofrece una potencial entrada para ataques maliciosos y los tres casos de estudio que se analizan en el informe son sólo una mínima parte de los riesgos de seguridad asociados a los robots sociales. Por ello, es crucial colaborar ahora para comprender y abordar los riesgos y vulnerabilidades emergentes, ya que dará sus frutos en el futuro“.