Opinión    Ciberseguridad

Ataque al robot

20 MAY. 2020
10 minutos

En los tiempos que corren la automatización de tareas se está convirtiendo en una práctica cada vez más extendida. Numerosas empresas comienzan a integrar elementos tecnológicos semiautónomos en actividades rutinarias realizadas por sus empleados. Con ello pretenden optimizar la operatividad de sus cadenas de producción y, por supuesto, sus flujos de trabajo en la oficina.

A nadie se le escapa que la robotización, impulsada por la transformación digital, es ya una realidad. La reducción de la intervención humana en ciertas tareas se está mostrando como un objetivo que todo el mundo pretende alcanzar.

RPA – Robot Process Automation

En paralelo y desde hace algunos años ha surgido en el mercado una tecnología conocida como RPARobot Process Automation. Bajo estas siglas se recoge la idea conceptualmente sencilla de un “elemento tecnológico que emula el comportamiento humano para llevar a cabo una secuencia de acciones que conllevan la ejecución de una actividad”. Nada nuevo, si lo observamos desde la perspectiva clásica de las líneas de producción en la automoción, la logística o la alimentación, por poner algunos ejemplos.

Sin embargo, sí que resulta novedoso. ¿Qué podríamos decir de la automatización cuando se trata de tareas realizadas por personas que trabajan en empresas menos “mecanizadas”? Dicho en términos que todos entendamos, la automatización de tareas de negocio en servicios de call-centers, entornos financieros, actividades de departamentos de recursos humanos, funciones administrativas, de sistemas de información, etc. Todas son actividades que requieren de la intervención de una persona situada frente a un ordenador.

Normalmente la forma de interactuar con estos sistemas es a través de un interfaz gráfico asociado a una aplicación. Y ahí es donde el concepto de RPA ha encontrado su nicho de mercado. Flujos tradicionales de actividades a golpe de clic de ratón o pulsaciones a un teclado se están viendo automatizadas por aplicaciones que reproducen el comportamiento humano cuando una persona está realizando la tarea. De acuerdo con un estudio elaborado por la consultora Deloitte, el RPA está consiguiendo, allí donde se aplica, mejorar la productividad en un 86% y reducir el coste de ejecución en más de un 69%.

En el mercado ya hay herramientas, como UiPath, AutomationAnyware o BluePrism, que facilitan su implantación y que poco a poco pretenden alzarse con el liderazgo. Según Forrester, las aplicaciones RPA puede superar los 2.900 millones de dólares en 2021; una cantidad irrisoria si pensamos en términos de la optimización que pueden suponer para los costes de las empresas.

… Pero ¿son seguros?

Asumiendo el modelo idílico que plantea la tecnología, nos encontramos con algunas dudas que desde el punto de vista de ciberseguridad pretendemos plantear. Y es que la proliferación de servicios RPA dejan en el aire algunas preguntas que no son sencillas de responder. No en vano, los servicios RPA abren una nueva superficie de ataque para los ciberdelincuentes a través de la cual pueden robar, difundir, destruir o modificar datos sensibles de una compañía. También puede suponer una puerta al acceso no autorizado a aplicaciones y sistema o a la explotación de vulnerabilidades que permitan llegar a otros puntos de la organización o incluso interrumpir servicios, a través de ataques de DDoS.

Un interesante estudio elaborado por la consultora EY pone de manifiesto algunas pautas a seguir cuando se decide implementar sistemas de automatización utilizando RPA. Estas pautas incluyen (1) la gobernanza (mediante un análisis de riesgos cuidadoso y la implementación de políticas de seguridad relacionadas con su uso), (2) la auditoría tanto del software como del hardware utilizado para el despliegue de los servicios RPA, (3) la gestión de la identidad y el control de accesos a servicios a los que los sistemas robotizados pueden llegar, (4) la protección de los datos y (5) la monitorización de los servicios que proporcionan. Siguiendo estas premisas quizás podamos dar una oportunidad a este tipo de sistemas.

Ciberseguridad a través de RPA

Si se piensa detenidamente, los sistemas basados en RPA también podrían contribuir a mejorar la ciberseguridad de una organización. Ayudarían, por ejemplo, a reducir los tiempos de detección y respuesta a amenazas a través del filtrado y clasificación de notificaciones —recogida de datos; análisis; operación y reporting— con la automatización de servicios en SIEM y/o SOAR. Contribuirían al descubrimiento automático de aplicaciones y dispositivos, combatiendo el shadow IT. Se utilizarían para automatizar los procesos de actualizaciones de software reduciendo las vulnerabilidades. Incluso contribuirían a atenuar los problemas de disponibilidad de recursos cualificados que sufre el sector, liberándolos de las actividades más rutinarias. Y todo ello, los 365 días del año y las 24 horas al día.

¿Quién está al otro lado?

El enunciado parece atractivo. Tareas como la provisión de usuarios, los servicios de help-desk, la sincronización de sistemas, la correlación de eventos de seguridad o la introducción de datos en formularios se convertirán en objeto de deseo de un robot desarrollado con herramientas RPA. Los ámbitos de aplicación serán múltiples y variados, desde la gestión de sistema de información a los entornos financieros, la logística y distribución, la energía… Cualquier trabajo informático que realicemos los seres humanos de manera repetitiva podría ser implementado como un robot.

Y entre tanta automatización surgirán los nuevos ciberdelincuentes que harán del RPA también uno de sus recursos preferidos; sobre todo para aquellas tareas que les resulten más repetitivas. Y si no, pensemos en la complejidad del spam, el phishing o algunas otras técnicas basadas en ingeniería social. No se requiere mucho tiempo y esfuerzo programar tareas—los llamados bots— que se dediquen a extorsionar a las personas a través de Internet interactuando incluso con ellas.

Quizás lo veamos. Lo extraño será que en el otro extremo posiblemente que ya no haya una persona. Al final, y pensándolo bien, ¿cuánto tiempo creen que tardaremos en ver cómo un robot intenta engañar a otro robot?

Juanjo Galán, Business Strategy de All4Sec