Expertos en seguridad hackean robot quirúrgico teleoperado

Un cuello de botella crucial que impide que se realicen cirugías para salvar vidas en muchas partes del mundo es la falta de cirujanos capacitados. Una forma de evitar esto es hacer un mejor uso de los que están disponibles.





Enviarlos a grandes distancias para realizar operaciones es claramente ineficiente por el tiempo que hay que dedicar a los desplazamientos. Por lo que una alternativa cada vez más importante es la posibilidad de telecirugía con un experto en un lugar controlando un robot en otro que realiza físicamente los cortes y troceados necesarios. De hecho, la venta de robots médicos está aumentando a un ritmo del 20 por ciento anual.

Pero si bien las ventajas son claras, las desventajas se han explorado menos. La telecirugía se basa en tecnologías de vanguardia en campos tan diversos como la informática, la robótica, las comunicaciones, la ergonomía, etc. Y cualquiera que esté familiarizado con estas áreas le dirá que están lejos de ser infalibles.

Hoy, Tamara Bonaci y sus colegas de la Universidad de Washington en Seattle examinan los peligros especiales asociados con la tecnología de comunicaciones involucrada en la telecirugía. En particular, muestran cómo un atacante malicioso puede interrumpir el comportamiento de un telerobot durante una cirugía e incluso hacerse cargo de dicho robot, la primera vez que un robot médico ha sido pirateado de esta manera.



La primera telecirugía tuvo lugar en 2001 con un cirujano en Nueva York extirpando con éxito la vesícula biliar de un paciente en Estrasburgo en Francia, a más de 6.000 kilómetros de distancia. Las comunicaciones pasaban por una fibra dedicada proporcionada por una empresa de telecomunicaciones específicamente para la operación.

Esa es una opción costosa ya que las fibras dedicadas pueden costar decenas de miles de dólares.

Desde entonces, los cirujanos han llevado a cabo numerosas operaciones a distancia y han comenzado a experimentar con enlaces de comunicación ordinarios a través de Internet, que son significativamente más baratos.



Aunque no hay incidentes registrados en los que la infraestructura de comunicaciones haya causado problemas durante una operación de telecirugía, todavía hay preguntas sobre seguridad y privacidad que nunca han sido respondidas por completo.

Entonces, Bonaci y compañía se propusieron explorar algunas de estas preguntas utilizando un robot de telecirugía llamado Raven II, que fue desarrollado en la Universidad de Washington. Raven II está diseñado con el objetivo de reducir drásticamente el tamaño de estos robots y mejorar su durabilidad para que puedan usarse en entornos extremos.

El robot consta de dos brazos quirúrgicos que son manipulados por un cirujano utilizando una consola de control de última generación que incluye video y retroalimentación háptica.



El robot en sí se ejecuta en una sola PC que ejecuta un software basado en estándares abiertos, como Linux y el sistema operativo del robot. Se comunica con la consola de control mediante un protocolo de comunicaciones estándar para cirugía remota conocido como Protocolo de telecirugía interoperable.

Esta comunicación se realiza a través de redes públicas potencialmente accesibles para cualquier persona. Y debido a que el robot está diseñado para funcionar en condiciones extremas, este enlace de comunicaciones puede ser una conexión a Internet de baja calidad, tal vez incluso inalámbrica.

Y ahí está el riesgo. Debido a la naturaleza abierta e incontrolable de las redes de comunicación, es fácil que entidades malintencionadas interfieran, interrumpan o se apoderen de la comunicación entre un robot y un cirujano, dicen Bonaci y compañía.



Así que eso es exactamente lo que intentaron hacer. Bonaci y compañía han intentado varios tipos de ataques cibernéticos en el robot para ver qué tan fácil es interrumpirlo.

Su experimento es relativamente sencillo. En lugar de una operación real, el operador tiene la tarea de mover bloques de goma de una parte de un tablero de clavijas a otra. Luego, el equipo mide qué tan rápido el operador puede completar esta tarea durante un ataque y qué tan difícil califican la tarea varios operadores.

La consola de control se conecta al robot a través de una red estándar, a la que también está vinculada la computadora atacante. Esta configuración permite que la computadora atacante intercepte y manipule las señales enviadas en ambas direcciones entre la consola de control y el robot.

El equipo prueba tres tipos de ataques. El primero cambia los comandos enviados por el operador al robot eliminándolos, retrasándolos o reordenándolos. Esto hace que el movimiento del robot se vuelva brusco y difícil de controlar.

El segundo tipo de ataque modifica la intención de las señales del operador al robot cambiando, por ejemplo, la distancia que debe moverse un brazo o el grado en que debe girar, etc. La mayoría de estos ataques tuvieron un impacto notable en Raven inmediatamente después del lanzamiento, dicen Bonaci y compañía.

La última categoría de ataque es un secuestro que se hace cargo por completo del robot. Esto resulta ser relativamente fácil ya que el Protocolo de Telecirugía Interoperable está disponible públicamente. Efectivamente tomamos el control del procedimiento teleoperado, dicen.

Incluso descubrieron cómo generar movimientos que activaban un mecanismo de parada automático integrado en el robot. Esto ocurre cuando un movimiento lleva los brazos más allá de una distancia predefinida o hace que se muevan demasiado rápido.

Mediante el envío constante de comandos que activaban este mecanismo, el equipo pudo llevar a cabo una especie de ataque de denegación de servicio. Podemos evitar fácilmente que el robot se reinicie correctamente, lo que hace que un procedimiento quirúrgico sea imposible, dicen.

Y si este tipo de ciberataque no fuera lo suficientemente malo, la conexión de video también estaba disponible públicamente, lo que permitía que casi cualquier persona viera la operación en tiempo real.

No es difícil imaginar cómo los ciberataques de este tipo podrían tener consecuencias letales. Incluso el ataque de denegación de servicio en un punto crucial durante un procedimiento quirúrgico podría ser fatal.

Habiendo visto cuán efectivos pueden ser este tipo de ataques cibernéticos, Bonaci y compañía también sugieren formas de prevenirlos. La más obvia es cifrar las comunicaciones entre la consola de control y el robot.

Incluso probaron esta idea y dijeron que el robot funcionó como se esperaba. El uso de encriptación y autenticación tiene bajo costo y altos beneficios para la cirugía telerrobótica, mitigando muchos de los ataques analizados, concluyen.

Sin embargo, el cifrado no puede frustrar todos los tipos de ataques. En particular, todavía permite ataques de intermediarios en los que un espía intercepta señales en ambas direcciones mientras engaña a ambas partes de que todavía están hablando entre sí.

Y el cifrado de video probablemente no sea práctico en el tipo de enlaces de red previstos para cirugía remota en ubicaciones extremas. Puede que no sea un problema de seguridad, pero sí plantea cuestiones importantes de privacidad.

Ese es un trabajo interesante que tiene profundas implicaciones no solo para la forma en que se realizará la telecirugía, sino también para la forma en que el público percibe la seguridad y la privacidad de estos sistemas.

Los operadores de telecirugía tendrán que evaluar cuán seguros deberán ser sus equipos. Y los legisladores y el público tendrán que llegar a sus propias conclusiones sobre qué tipo de seguridad y privacidad es aceptable. De cualquier manera, el juego del gato y el ratón de la ciberseguridad continuará

Ref:arxiv.org/abs/1504.04339: Para hacer que un robot sea seguro: un análisis experimental de las amenazas de seguridad cibernética contra la robótica quirúrgica teleoperada

esconder