Por José Manuel Roviralta
En la actualidad, la impresión 3D es una tecnología que ha ido ganando popularidad y se ha hecho más común hasta el punto de poder disponer de una de estas impresoras en nuestro propio hogar.
El surgimiento de impresoras bajo licencia Open Source Hardware ha conseguido que uno mismo pueda comprar las piezas para montar su propia impresora 3D o incluso kits DIY (Do It Yourself) con las piezas necesarias para montarlas a precios muy económicos.
Por otra parte, tiene las ventajas de poder diseñar e imprimir nuestras propias creaciones, ya sea por afición o por trabajo en un corto período de tiempo, unido a la posibilidad de desarrollar proyectos a medida según las necesidades y exigencias. Sin embargo, una impresora 3D no se diferencia del resto de dispositivos electrónicos que tenemos en casa o en la oficina y, al igual que ellos, se encuentra expuesta a ser objetivo de ataques.
Al ser una tecnología relativamente nueva y que ha adquirido gran popularidad, no se libra de los mismos problemas que tienen otros dispositivos “más experimentados” en el ámbito de la ciberseguridad. Espionaje industrial, sabotaje o vulnerabilidades son algunos de los problemas a los que se debe enfrentar.
Industria de la impresión 3D
Se encuentra en constante crecimiento, tanto en el uso de estos dispositivos para la elaboración de prototipos tridimensionales como en el servicio de impresión de piezas bajo demanda o el desarrollo de elementos hardware y software. Todo se recoge bajo una corriente cultural conocida como movimiento maker, a su vez surgida de la cultura DIY.
Esta cultura maker apuesta por la fabricación de las piezas, electrónica, hardware o software, pasando por todas las fases de un proyecto y realizándolas personalmente o de manera colectiva. En la mayoría de los casos se comparten los conocimientos o los diseños con el resto de la comunidad.
Hoy en día la tecnología más empleada a la hora de realizar impresiones 3D es la impresión mediante fabricación con filamento fundido, del inglés Fused Filament Fabrication (FFF). Se basa en ir depositando capas de material fundido para la impresión de piezas, en la mayoría de los casos son materiales plásticos, pero es posible imprimir otros materiales como cerámica, metales y alimentos, destacando el ámbito de la medicina donde se están haciendo avances en la impresión de tejidos biológicos como cartílago o hueso.
Desafíos en Ciberseguridad
La impresión 3D no se queda exenta de presentar desafíos en materia de ciberseguridad. La popularidad que está alcanzando esta tecnología es el factor por el cual los cibercriminales están empezando a fijar el punto de mira en estas impresoras. Se han dado casos en los cuales las impresoras 3D han sido el principal objetivo de ataques informáticos.
Hay que tener en cuenta que una impresora 3D es también un dispositivo embebido y, como cualquier otro dispositivo de estas características, no está exento de ser objetivo de ataques. Las amenazas a las que se enfrenta la impresión 3D son:
- Vulnerabilidades
Un gran número de impresoras 3D emplean un firmware de código abierto denominado Marlin, el cual es empleado para controlar y configurar las impresoras. En el año 2018 apareció una vulnerabilidad de severidad alta (CVE-2018-1000537) que permitía la ejecución arbitraria del código.
Octoprint, por ejemplo, es un software de código abierto muy extendido en el mundo de la impresión 3D que permite monitorizar, gestionar y controlar la impresora en remoto desde el navegador web o app móvil. En marzo de 2018 se detectó una vulnerabilidad en Octoprint que dejaba a la impresora 3D expuesta a una intrusión a través de internet.
- Configuraciones incorrectas
Se han reportado casos en los cuales, debido a una mala configuración de Octoprint, se dejaba expuesta a la impresora 3D en internet. En septiembre de 2018 se reportó sobre 3,700 instancias de Octoprint expuestas en la red.
Esto implica que un atacante podría acceder a la red donde se encuentre el software, así como acceder a otros servicios de la impresora como, por ejemplo, gestionar las impresiones.
- Sabotaje industrial
Existen casos documentados en los que atacantes han manipulado las impresoras 3D o los archivos donde se encuentran las especificaciones para imprimir las piezas con el fin de malograr los resultados de las impresiones.
Muchas veces estos archivos son utilizados para el prototipado rápido de piezas y un sabotaje de este tipo podría suponer un retraso importante en el diseño de un producto, repercutiendo económicamente en el proyecto y la empresa.
- Espionaje
Al igual que ocurre en el punto anterior, es posible que no sólo se realice un sabotaje, sino que directamente roben los diseños de los prototipos para luego obtener una ventaja en el mercado o venderlo a las compañías rivales por un módico precio.
Por otro lado, existe otro tipo de espionaje en el que se ofrecen las cámaras integradas en las impresoras 3D para la monitorización de su trabajo, pudiendo ser empleadas para saber en qué tareas se están empleando la impresora, así como para conocer el entorno cercano a la misma o las rutinas que siguen los operarios.
Posibles soluciones de seguridad
Las medidas a tomar podrían implementarse, tanto a nivel lógico como físico, a la hora de proteger la impresora 3D. Los diseños o prototipos pueden utilizar cifrados robustos conocidos y la implementación de sistemas de firma en la generación, transmisión y almacenamiento tanto del código como de los ficheros donde se almacenan las piezas. También es posible mejorar la seguridad perimetral donde se encuentre la impresora, junto con la restricción de acceso sólo al personal cualificado, impidiendo la manipulación o sustracción.
Mediante un sistema de firma, sólo se permitiría imprimir piezas de las cuales se conozca su procedencia con el software de laminado autorizado. Asimismo, la impresora 3D sólo podría trabajar con firmwares y piezas firmados. El objetivo es que las impresiones no pudan ser manipuladas por terceros y la impresión fuese de piezas válidas.
Otro elemento a tener en cuenta es deshabilitar los servicios o funcionalidades de la impresora 3D que no sean necesarios. Si se va a usar en un entorno controlado, aislar la impresora de internet puede impedir que se convierta en un vector de ataque, así como instaurar una política de actualizaciones de software que solucione las posibles vulnerabilidades que pudiesen aparecer en un futuro.
El empleo de todas estas medidas podrían ser pautas a seguir a la hora de securizar a nivel lógico la impresora 3D y su ecosistema digital.
Al igual que pasa con todo dispositivo IoT, una correcta configuración de los elementos, servicios y entorno de la impresora 3D puede evitar que esta suponga un agujero de seguridad.
Añadir la seguridad como un elemento más en el proceso de diseño a la hora de crear dispositivos, software, prototipos o tecnologías es un factor clave que debe implantarse como norma. Las ventajas que se obtienen son muy numerosas con la consecuente creación de nuevos productos más seguros y eliminando posibles agujeros de seguridad ya conocidos.
Con información del Instituto Nacional de Ciberseguridad de España