El caso ocurrido con u mando de PS5 y un robot DJI ilustra el peligro que tiene cualquier brecha de ciberseguridad, incluso una que puede ser explotada por una IA al alcance de cualquiera.
La historia es cuanto menos curiosa: un señor llamado Sammy Azdoufal (director de estrategia de IA de la empresa Emerald Stay) se cansó un día de tener que operar con su robot de limpieza DJI Romo a través de la app de su móvil, así que trató de hacerlo utilizando el mando de su PS5. Para ello, trató de acceder al sistema utilizando Claude, la IA de Anthropic especializada en crear código de programación. Y lo consiguió...vaya si lo consiguió.
Azdoufal se hizo con un token privado de su propio robot de los servidores de DJI, el fabricante de su robot de limpieza (y de muchos más aparatos, entre ellos drones) y pudo conectarse al sistema. El problema es que no sólo se conectó a su robot...sino a cerca de 7.000 dispositivos. De hecho, consiguió con una sola clave acceder a cámaras y micrófonos de esos miles de aparatos, pudiendo mirar en todas esas casas ajenas.
Los robots de limpieza DJI Romo han sido objeto de polémica recientemente.Esta clave a la que tuvo acceso gracias al código de Claude no contaba con verificación de usuario, de manera que podía servirle para cualquier aparato en todo el mundo - esos cerca de 7.000 robots de limpieza estaban repartidos en 24 países distintos, casas de las cuales tenía todos los planos a raíz del escaneo que realizan estos robots de limpieza al comienzo de su uso para reconocer las diferentes áreas y limpiar con mayor efectividad.
Y todo esto, recordemos, lo hizo por accidente - su única intención era poder controlar el robot con el mando de PS5 en lugar del móvil, que para según qué usuarios puede ser algo más intuitivo. Aquí podemos entrar en el debate de controles táctiles en pantallas vs botones físicos, un debate que los fabricantes parecen decantarse más por lo segundo - al menos, por las tendencias de los fabricantes premium, alejándose de esa moda tecnológica que ha crecido casi sin control en años recientes.
Esta historia pone de relieve una realidad: los efectos que puede tener cualquier fallo de ciberseguridad, hasta la última línea de código. Un aspecto en el que la industria del motor está muy enfocado con las tecnologías de coches conectados a una nube, uno en el que la Unión Europea está legislando de manera severa en años recientes.
La ciberseguridad es uno de los grandes aspectos que preocupan a la UE en la industria del motor.Ya no es solo la privacidad de las cámaras de los vehículos modernos que conducimos muchos usuarios en Europa cada día - las que vigilan, por ejemplo, si mostramos cansancio o apartamos la vista de la carretera con sistemas de conducción autónoma SAE nivel 2 activos. Es también la ciberseguridad de módulos tan básicos como el del acelerador, los frenos o la dirección, así como el funcionamiento de los sistemas ADAS.
Teóricamente, sin el blindaje de ciberseguridad adecuado, sería posible hasta localizar la ubicación de un vehículo concreto a través de la tarjeta SIM que incluyen para monitorizar el estado de la batería o el funcionamiento de actualizaciones OTA, entre otras funciones. Evidentemente ya existen normativas estrictas, como las ya implementadas ISO/SAE 21434 o el reglamento UNECE WP.29 para proteger a los usuarios tanto del control de vehículo como lo que puede ser igual o más peligroso: robo de datos.
En tiempos recientes ya hemos visto casos de fabricantes que eran víctimas de ataques de ciberseguridad. Incluso existe, hasta cierto punto, preocupación en el acceso que pueda tener fabricantes chinos (que, a fin de cuentas, puede equivaler al gobierno chino en sí en ciertos casos) a la hora de monitorizar vehículos que incorporen sus baterías o su software, siendo un ejemplo lo que ha ocurrido en Polonia y los alrededores de sus bases militares.
¿Qué fue lo que ocurrió con Azdoufal y su robot de limpieza? Que hizo lo correcto, informando al fabricante. DJI tomó nota y en apenas dos días pudo arreglar mediante dos actualizaciones. Con intenciones maliciosas, el daño que se puede llegar a hacer al penetrar sistemas de ciberseguridad son preocupantes, más si hablamos de sistemas de vehículos que estén en marcha. Noruega y Reino Unido, sin ir más lejos, ya han investigado en profundidad el tema.
