Los investigadores cada vez nos enfrentamos más ante situaciones de «digitalizar» algo no digitalizado anteriormente, temperaturas, presiones, consumos energéticos, etc… para estos casos buscamos un sistema de medida o un sensor en un catálogo comercial: una sonda de temperatura, un presostato, una pinza amperimétrica para medir una corriente eléctrica,etc.
En ocasiones, nos vemos en la necesidad de medir «algo» para lo que no se encuentran sensores comerciales. Esto puede ser debido a que no son métricas habituales y no hay suficiente mercado para ese tipo de sensores o directamente, no existen soluciones técnicas comerciales disponibles por diferentes razones. Por ejemplo, puede ser necesario medir características como la humedad de corrientes de materias sólidas, o características únicamente medibles en un laboratorio de control de calidad de forma indirecta y que necesitan un tiempo elevado de experimentación.
También, en ocasiones, se requiere medir características en ambientes de gran dureza por altas temperaturas, como pueden ser los hornos de fundición, o ambientes con mucho polvo que saturan cualquier sistema convencional de medida y en algunas ocasiones puede ser necesario evaluar una cualidad que no se distribuye de forma uniforme (p.ej. cantidad de grasa en una pieza de carne, presencia de impurezas). Otro factor a tener en cuenta, no siempre es posible instalar un sensor sin interferir en el propio proceso de fabricación del material que deseamos medir, o la única forma es tomar una muestra para realizar su análisis fuera de línea y obtener un valor o característica un tiempo después, pero nunca en tiempo real.
En estas situaciones, se necesita recurrir a soluciones a medida que denominamos sensores inteligentes o sensores cognitivos. Además de llamarles así para que parezcan algo exótico o cool, son soluciones que necesitan usar una serie de sensores «convencionales» junto con programas y algoritmos, por ejemplo, de inteligencia artificial, que procesen las medidas devueltas por estos sensores comerciales para tratar de dar una estimación lo más precisa posible de la cualidad que deseamos medir.
Actualmente nos encontramos desarrollando este tipo de sensores inteligentes para diferentes industrias de proceso como la fabricación de asfalto, barras de acero o medicamentos (p.ej. píldoras) en el marco del proyecto europeo CAPRI.
Por ejemplo, en la fabricación de asfalto es necesario secar arenas de diferentes tamaños antes de mezclarse con el betún. Durante el proceso de secado en continuo de estas arenas, el tamaño más fino de arena, denominadofiller, se «desprende» en forma de polvo de árido de tamaño más grande y es necesario aspirar este polvo de forma industrial usando lo que se denomina filtro de mangas. Hoy en día, el secado y la aspiración de filler se realiza de forma que se asegura que todo el filler es extraído. El inconveniente de este proceso, es que, en realidad es necesario añadir filler adicional al mezclar las arenas secadas con el betún, pues es necesario en la mezcla, porque el fillermejora la cohesión de la mezcla rellenando huecos entre los granos de arena. Todo este secado y aspiración completo del filler supone un gasto energético que para tratar de minimizar sería necesario poseer una medida del mismo presente en la mezcla de arenas. Actualmente, esta medida se obtiene de forma puntual a través de un análisis granulométrico en laboratorio con una muestra de material antes de secar.
Dentro del proyecto CAPRI estamos trabajando en la compleja tarea de poder medir el flujo de filler aspirado durante el secado. No se encuentran en el mercado sensores garantizados para medir una gran concentración de polvo (200.000 mg/m3) en suspensión a temperatura elevada (150-200ºC).
Llevar a cabo el desarrollo de este tipo de sensores requiere realizar diferentes pruebas en laboratorio, bajo condiciones controladas que permitan verificar la factibilidad de dicha solución y posteriormente, también en condiciones de laboratorio, realizar unos ensayos calibrados que permitan asegurar que es posible estimar el flujo verdadero de filler aspirado en el proceso de secado de las arenas. El proyecto CAPRI ha completado con éxito las pruebas de este sensor y de otro pertenecientes a la fabricación de barras de acero y píldoras farmacéuticas.
El proyecto en su compromiso con la iniciativa de ciencia abierta impulsada por la Comisión Europea, ha publicado en su canal de Zenodo, diferentes resultados de estas pruebas de laboratorio que nos permiten corroborar el éxito preliminar de dichos sensores a falta de su validación y prueba en las zonas productivas de los socios colaboradores del proyecto. En un futuro próximo estaremos en condiciones de compartir los resultados del funcionamiento industrial de este y otros sensores desarrollados del proyecto.
Co-Autora
Cristina Vega Martínez. Ingeniera Industrial. Coordinadora del proyecto CAPRI H2020
El impacto de la Inteligencia Artificial (IA) es altamente reconocido como uno de los motores clave de la revolución industrial digital junto con los datos y la robótica 1 2. Para aumentar el desarrollo de una IA que sea factible práctica y económicamente en los sectores industriales, necesitamos aplicaciones de IA con interfaces más simples, que no requieran una mano de obra altamente cualificada. Estas aplicaciones de IA deben tener una vida útil más larga y que requiera un mantenimiento menos especializado (por ejemplo, para el etiquetado de datos, entrenamiento, validación…)
Lograr una implementación efectiva de tecnologías de IA confiablesdentro de la industria de proceso requiere una comprensión coherente de cómo estas diferentes tecnologías se complementan e interactúan entre sí en el contexto de los requisitos específicos del dominio que requieren los sectores industriales3.Las industria de proceso deben aprovechar el potencial de la innovación basada en IA, dentro del impulso de la transformación digital, como facilitador clave para alcanzar los objetivos del Green Deal y la esperada transición verde y digital necesaria para una evolución completa hacia la economía circular.
Uno de los retos más importantes para el desarrollo de soluciones innovadoras en la industria de proceso es la complejidad, inestabilidad y imprevisibilidad de sus procesos y el impacto en sus cadenas de valor. Estas soluciones normalmente requieren: funcionar en condiciones adversas, bajo cambios en los valores de los parámetros del proceso, falta de monitoreo/medición consistente de algunos parámetros importantes para analizar el comportamiento del proceso y que son difíciles de medir en tiempo real. A veces, dichos parámetros solo están disponibles a través de análisis de control de calidad en laboratorios que son los responsables de vigilar la trazabilidad del origen y calidad de materias primas, materiales y productos.
Para las aplicaciones basadas en IA, estas restricciones son más críticas, ya que la IA requiere (generalmente) una cantidad considerable de datos de alta calidad para asegurar el rendimiento del proceso de aprendizaje (en términos de precisión y eficiencia). Además, obtener datos de alta calidad, generalmente requiere una participación intensiva de expertos humanos para curar (o incluso crear) datos en un proceso que requiere mucho tiempo. Asimismo, un proceso de aprendizaje supervisado requiere el etiquetado/clasificación de ejemplos de entrenamiento por parte de expertos en el dominio, lo que hace que una solución de IA pueda no ser rentable.
Minimizar (tanto como sea posible) la participación humana en el ciclo de creación de la IA implica algunos cambios fundamentales en la organización de su ciclo de vida, especialmente desde el punto de vista de lograr una IA más autónoma, lo que conduce al concepto de self-X-AI4. Para lograr tal comportamiento autónomo para cualquier tipo de aplicación, generalmente se necesita dotar de habilidades avanzadas (denominadas self-X en inglés y traducidas como auto-X) como las propuestas para la computación autonómica (AC, del inglés Autonomic Computing)5:
Habilidades self-X de computación autonómica
Auto-Configuración: (para facilitar la integración de nuevos sistemas de adaptación al cambio)
Auto-Optimización: (control automático de recursos para un funcionamiento óptimo)
Auto-Recuperación: (detección, diagnóstico y reparación para corrección de errores)
Auto-Protección: (identificación y protección de ataques de una manera proactiva)
Por lo tanto, el paradigma de la computación autonómica puede ayudar en muchas tareas de IA a través de una gestión adecuada 6 7 . En este escenario, la IA actúa como el sistema de procesamiento inteligente y el gestor autonómico ejecuta continuamente un ciclo de Monitoreo-Análisis-Planificación-Ejecución basado en el conocimiento (MAPE-K) del sistema IA controlado, con el objetivo de desarrollar una aplicación IA auto-mejorada.
De hecho, estas nuevas aplicaciones de (self-X) IA serán, hasta cierto punto, autogestionadas para mejorar su propio rendimiento de forma incremental5. Esto se realizará mediante el ciclo de adaptación, que permita «aprender haciendo» utilizando el modelo MAPE-K y las habilidades self-X propuestas por la computación autonómica. El proceso de mejora debe basarse en la capacidad de auto-optimización continua (por ejemplo, ajuste de hiperparámetros en el aprendizaje automático). Además, en el caso de tener problemas en el funcionamiento de un componente de Inteligencia Artificial, el administrador autonómico debe activar las habilidades de auto-configuración (por ejemplo, elección del método de IA), auto-reparación (por ejemplo, detección de desviación del modelo entrenado) y auto-protección (por ejemplo, generar datos artificiales para mejorar los modelos entrenados) según sea necesario, basado en el conocimiento del sistema IA.
En tan solo unas semanas, CARTIF iniciará un proyecto con la ayuda de otras organizaciones expertas en IA y empresas líderes de varios sectores de la industria de proceso Europea para abordar estos desafíos y cerrar la brecha entre la IA y la automatización. El proyecto propone un enfoque novedoso para actualizar de forma continua aplicaciones de IA con una mínima intervención de expertos, a partir de una integración de datos para IA, y proporcionando capacidades de computación autonómica (self-X). La idea principal es permitir la actualización continua de las aplicaciones de IA mediante la integración de datos industriales del mundo físico con una intervención humana reducida.
Os informaremos en futuros posts de los avances que realizaremos con esta nueva generación de aplicaciones IA auto-mejoradas para la industria.
La visión artificial es una disciplina que ha permitido controlar distintos procesos productivos en la industria y otros sectores desde hace muchos años. Acciones tan habituales como el proceso de compra en un supermercado, requieren técnicas de visión como el escaneado de los códigos de barras.
Hasta hace pocos años, muchos problemas no se podían resolver de una manera sencilla con las técnicas de visión clásicas. Identificar personas u objetos situados en diferentes posiciones de las imágenes o clasificar ciertos tipos de defectos industriales no homogéneos resultaban tareas de alta complejidad que, a menudo, no ofrecían resultados precisos.
Los avances en Inteligencia Artificial (IA) han acompañado también al campo de la visión. Mientras que Alan Turing estableció en 1950 el test de Turing, donde una persona y una máquina se situaban detrás de un muro, y otra persona realizaba preguntas intentando descubrir quién era la persona y quién era la máquina, en la visión artificial mediante IA se buscan sistemas capaces de reproducir el comportamiento de los humanos.
Uno de los campos de la IA es el relativo a las redes neuronales. Utilizadas durante décadas, no fue hasta el año 2012 cuando empezaron a jugar un importante papel en el campo de la visión. AlexNet1 , diseñada por Alex Krizhevsky, fue una de las primeras redes que implementó el diseño con filtros de convolución en 8 capas. Años antes se había establecido un campeonato a nivel mundial donde los algoritmos más potentes intentaban clasificar correctamente las imágenes de ImageNet2, una base de datos con 14 millones de imágenes representativas de 1.000 categorías diferentes. Mientras que el mejor de los algoritmos clásicos, que utilizaba SIFT y vectores de Fisher, obtuvo un 50,9% de precisión clasificando las imágenes de ImageNet, AlexNet llevó la precisión a un 63,3%. Este resultado supuso un hito y representó el inicio de la exploración del aprendizaje profundo, también conocido como Deep Learning (DL). Desde el 2012, se ha profundizado mucho en el estudio de las redes neuronales profundas, creando modelos con más de 200 capas de profundidad y llevando la precisión de clasificación de ImageNet a más de un 90% con el modelo CoAtNet3, que integra capas de convolución con capas de atención de una forma inteligente, deepwise.
Volviendo a la relación de los modernos modelos de visión artificial con respecto a la IA, Dodge et al. (2017)4 descubrieron que, las modernas redes neuronales de clasificación de las imágenes de ImageNet cometían menos errores que los propios humanos, algo que muestra que los sistemas informáticos son capaces de hacer tareas mejor y mucho más rápido que las personas.
Entre los problemas más habituales que resuelve la visión artificial mediante IA, podemos encontrar: clasificación de imágenes, detección y segmentación de objetos, reconocimiento de esqueletos (tanto humanos como de objetos), aprendizaje a partir de un caso, re-identificación, etc. Muchos de los problemas se resuelven tanto en dos dimensiones como en 3D.
Diversos problemas de visión resueltos por IA: Segmentación, clasificación, detección de objetos
La clasificación simplemente nos indica a qué se corresponde una imagen. Así por ejemplo, un sistema podría decir si una imagen tiene un gato o un perro. La detección de objetos nos permite identificar varios objetos en una imagen y delimitar el rectángulo en el que han sido encontrados. Por ejemplo, podríamos detectar varios perros y gatos. La segmentación permite identificar los límites del objeto, no únicamente un rectángulo. Hay técnicas que permiten segmentar sin conocer qué se está segmentando, y técnicas que permiten segmentar conociendo el tipo de objeto que segmentamos, por ejemplo un gato.
El reconocimiento de esqueletos permite multitud de aplicaciones, que van desde temas relativos a la seguridad hasta el reconocimiento de actividades y su posterior reproducción en un robot. Adicionalmente, existen técnicas que permiten obtener puntos característicos de imágenes, como pueden ser puntos de la cara de una persona, o técnicas para obtener la orientación tridimensional a partir de imágenes 2D.
Segmentación industrial utilizando MaskRCNN5
El aprendizaje a partir de un caso (One Shot Learning) permite que un modelo clasifique imágenes a partir de una única muestra conocida de la clase. Esta técnica, normalmente implementada con redes neuronales siamesas, evita el problema de la necesidad de obtener miles de imágenes de cada clase para entrenar un modelo. De la misma forma, los sistemas de re-identificación son capaces de volver a identificar una persona u objeto a partir de una única imagen.
El alto coste computacional de los modelos de DL llevó desde los primeros momentos a buscar alternativas de cómputo respecto a las CPUs, los procesadores principales de los ordenadores. Las GPU, o unidades de procesamiento gráfico, que originalmente se desarrollaron para llevar a cabo cálculos en paralelo de cara a generar imágenes de aplicaciones gráficas o videojuegos de manera fluida, mostraron que se ajustaban perfectamente a la paralelización del entrenamiento de las redes neuronales. En el entrenamiento de las redes neuronales hay dos etapas principales, el paso hacia adelante (forward) y la propagación hacia atrás (back-propagation). Durante el proceso hacia adelante, las imágenes entran en la red y van pasando a través de sucesivas capas que van aplicando distintos filtros con el fin de extraer las características más destacadas y reducir la dimensionalidad. Finalmente, una o más capas son las responsables de la propia clasificación, detección o segmentación. En la propagación hacia atrás, se actualizan los distintos parámetros y pesos que utiliza la red, en un proceso que va desde la salida, comparando la salida obtenida y esperada, hasta la entrada. El proceso hacia adelante se puede paralelizar creando lotes de imágenes. Dependiendo del tamaño de la memoria de las GPU, se crean copias del modelo que procesan todas las imágenes de un lote en paralelo. Cuanto mayor es el tamaño de lote que podemos procesar, más rápido será el entrenamiento. Este mismo mecanismo es el utilizado durante el proceso de inferencia, proceso que también permite utilizar paralelización. En los últimos años, algunos proveedores de cloud computing han empezado a utilizar Unidades de Proceso Tensorial (TPUs), con ciertas ventajas respecto a las GPU. Sin embargo, el coste de utilización de estos servicios suele ser alto cuando se realiza procesamiento masivo.
Obtención de esqueleto, reconocimiento de actividad y reproducción en un robot Pepper6
CARTIF dispone de importantes sistemas de entrenamiento de redes neuronales profundas, algo que permite resolver problemas de alta complejidad computacional en un tiempo relativamente bajo. Además, hemos perfeccionado diversos algoritmos de entrenamiento utilizando las mas recientes redes neuronales7. También hemos perfeccionado sistemas de aprendizaje a partir de un solo caso mediante redes siamesas8. Así mismo, utilizamos los modelos más avanzados en tareas tales como el reconocimiento, segmentación y detección de objetos y personas, clasificación de imágenes, incluyendo defectos industriales, y sistemas de interacción persona-robot mediante algoritmos avanzados de visión.
1 Krizhevsky. A, Sutskever.I & Hinton.G.E. (2012) Imagenet classification with deep convolutional neural networks, Advances in neural information processing systems, 25
2Russakovsky, O., Deng, J., Su, H., Krause, J., Satheesh, S., Ma, S., … & Fei-Fei, L. (2015). Imagenet large scale visual recognition challenge. International journal of computer vision, 115(3), 211-252.
3 Dai, Z., Liu, H., Le, Q., & Tan, M. (2021). Coatnet: Marrying convolution and attention for all data sizes. Advances in Neural Information Processing Systems, 34.
4 Dodge, S., & Karam, L. (2017, July). A study and comparison of human and deep learning recognition performance under visual distortions. In 2017 26th international conference on computer communication and networks (ICCCN) (pp. 1-7). IEEE.
5 He, K., Gkioxari, G., Dollár, P., & Girshick, R. (2017). Mask r-cnn. In Proceedings of the IEEE international conference on computer vision (pp. 2961-2969).
6 [1] Domingo, J. D., Gómez-García-Bermejo, J., & Zalama, E. (2021). Visual recognition of gymnastic exercise sequences. Application to supervision and robot learning by demonstration. Robotics and Autonomous Systems, 143, 103830.
7Domingo, J. D., Aparicio, R. M., & Rodrigo, L. M. G. (2022). Cross Validation Voting for Improving CNN Classification in Grocery Products. IEEE Access.
8Duque Domingo, J., Medina Aparicio, R., & González Rodrigo, L. M. (2021). Improvement of One-Shot-Learning by Integrating a Convolutional Neural Network and an Image Descriptor into a Siamese Neural Network. Applied Sciences, 11(17), 7839.
Inteligencia Artificial, Machine Learning, Deep Learning, Dispositivos Inteligentes…,- términos con los que constantemente nos bombardean en los medios de comunicación haciéndonos creer que estas tecnologías son capaces de hacer cualquier cosa y resolver cualquier problema al que nos enfrentemos. ¡¡Nada más lejos de la realidad!!
Según la Comisión Europea1, «los sistemas de inteligencia artificial (IA) son sistemas de software (y en algunos casos también de hardware) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno a través de la obtención de datos, la interpretación de los datos estructurados o no estructurados que recopilan, el razonamiento sobre el conocimiento o el procesamiento de la información derivados de esos datos, y decidiendo la acción o acciones óptimas que deben llevar a cabo para lograr el objetivo establecido»
La IA engloba múltiples enfoques y técnicas entre las que se encuentran el aprendizaje automático, el razonamiento automático y la robótica. Dentro de ellas centraremos nuestra reflexión en el aprendizaje automático a partir de datos, y más concretamente en el Análisis Inteligente de los Datos orientado a extraer información y conocimiento que nos ayude a tomar decisiones. Se trata de esos datos (históricos o en continuo) que son almacenados por las empresas a lo largo del tiempo y que muchas veces no son puestos en valor. Esos datos que reflejan la realidad de una actividad en concreto y que nos van a permitir crear modelos estadísticos y matemáticos (en forma de reglas y/o algoritmos) que contienen información acerca de cómo es la realidad, de cómo son las cosas tal y como ocurren en la actualidad. ¿Cuáles son entonces los actores principales que intervienen en cómo «cocinar» los datos para obtener información relevante? Los datos, que serán nuestros «ingredientes»; los algoritmos, capaces de procesar esos datos, que serán nuestras «recetas»; los informáticos y matemáticos, que serán los «jefes de cocina» capaces de mezclar correctamente los datos y los algoritmos; y los expertos de dominio, que serán nuestros «catadores» particulares y cuyo cometido será validar los resultados obtenidos.
En primer lugar los datos, esos datos a partir de los cuales queremos extraer información con la que generar modelos o hacer predicciones. Mediante un proceso de aprendizaje continuo de prueba y error, basado en analizar cómo fueron las cosas en el pasado, que tendencias había, que patrones se repetían, etc. se pueden generar modelos y realizar predicciones que serán tan «buenas» como lo son los datos. No es cuestión de cantidad de datos, sino de su calidad. ¿Qué significa eso exactamente? Significa que si a un sistema de IA le enseñamos a multiplicar (dándole ejemplos de multiplicaciones correctas) sabrá hacer esa tarea (multiplicar) pero nunca sabrá restar o dividir. Y que si le damos ejemplos ‘incorrectos’ (3*2=9 en lugar de 3*2=6) aprenderá a multiplicar, pero de forma errónea. Necesitamos por tanto que los datos, ingredientes fundamentales de nuestra receta, estén bien organizados, sean de calidad y podamos confiar en ellos (deben ser relevantes).
Por otro lado están los algoritmos de IA, nuestras «recetas» que nos dicen cómo mezclar correctamente los «ingredientes», como utilizar los datos disponibles para intentar resolver nuestro problema. Son algoritmos que nos permiten construir sistemas informáticos que emulan la inteligencia humana a la hora de automatizar tareas. Sin embargo no todos los algoritmos sirven para resolver cualquier tipo de problema. ¿Qué hay entonces en el «interior» de estos algoritmos? Se trata principalmente de fórmulas matemáticas y estadísticas propuestas hace décadas y cuyas bases han avanzado poco en los últimos años, pero que son ahora más efectivos gracias, no solo al aumento en la cantidad de datos que pueden analizar, sino también al aumento en la potencia de cálculo de los ordenadores, que está permitiendo realizar cálculos mucho más complejos, en menos tiempo y a bajo coste. Sin embargo, aptitudes como la intuición, la creatividad o la consciencia son habilidades humanas que (de momento) no hemos conseguido transferir a una máquina de forma efectiva. Serán, por tanto, – nuestros «jefes de cocina» y nuestros «catadores» los encargados de aportar esos factores humanos en nuestra particular «cocina».
Es por ello que no todos los problemas se pueden resolver utilizando IA ¿Por qué? Porque ni los datos son capaces de «hablar» por si solos, ni son «portadores» de la verdad absoluta, ni los algoritmos son «videntes» capaces de adivinar lo impredecible. Lo que realmente saben hacer los datos y los algoritmos es contestar a las preguntas que les planteamos tomando como base el pasado, siempre y cuando las preguntas planteadas sean las adecuadas. Tras el fallo de una máquina, ¿ cómo se relacionan matemáticamente los datos proporcionados por los sensores que monitorizan la máquina con el fallo producido? Cuando se analiza una imagen, ¿ cómo de parecida es a las imágenes que se han analizado previamente? Cuando se le hace una pregunta a un asistente virtual, ¿ qué respuesta se ha dado más habitualmente en el pasado a esa misma pregunta? Se trata, por tanto, de interrogar a los datos de la forma correcta para que nos revelen la información que queremos.
A lo largo del último siglo la IA ha logrado sobrevivir a varios ‘inventos’ tecnológicos con escasez de financiación e investigación, provocados principalmente por el entusiasmo descontrolado que se puso en la tecnología los años previos2. Ha llegado al momento de «aprender» de nuestros datos históricos y no volver a cometer los mismos erros. Reconozcámosle a la IA las capacidades que realmente tiene y dejemos a los magos de su capacidad de hacer realidad lo imposible. Solo de esta forma la IA entrará en una primavera perpetua.
Como ya comentamos en nuestro anterior post, las redes OT (Operation Technology) de las empresas no están exentas de sufrir ataques informáticos. Hasta hoy son múltiples los ataques sufridos por empresas industriales desde que se produjera en 2010 el primer ciberataque que tuviera repercusión directa en el mundo físico1, incidentes de seguridad que afectan a un amplio abanico de entidades que abarca desde grandes tecnológicas hasta proveedoras de productos finales2. Todas las infraestructuras industriales, y no solo las infraestructuras críticas, están en el punto de mira de los ciberdelincuentes o crackers, en los que el sector OT es en cierta forma «negligente», ya que casi el 90%de las vulnerabilidades y vectores de ataques presentes en un sistema industrial son identificables y explotables utilizando estrategias ampliamente conocidas por los atacantes, siendo el 71% de riesgo alto o crítico al poder paralizar parcial o totalmente la actividad de la empresa3.
Ante el panorama esbozado cabe hacerse una serie de preguntas ¿existen herramientas apropiadas y adaptadas a estos entornos OT? ¿pueden los expertos en ciberseguridad proteger el ámbito OT de la industria? La detección de las vulnerabilidades que afectan a los recursos asociados a las redes OT, elementos clave en la automatización de las plantas industriales, se presenta como una etapa de obligada presencia en cualquier test de penetración. Una vez que las vulnerabilidades han sido identificadas será posible tomar las medidas preventivas necesarias, adaptando las soluciones ya existentes y las buenas prácticas bien conocidas del entorno IT al mundo OT, y no realizando un traslado directo de las mismas.
Algunos intentos de adaptación a nivel de estándares son la IEC 62443, basada en el estándar ISA 99 y que establece el marco de referencia internacional de ciberseguridad en sistemas industriales, o la ISO/IEC 27019:2013, que proporciona principios rectores para la gestión de seguridad de la información aplicada a sistemas de control de procesos. En cuanto a herramientas concretas encontramos, entre otras, la plataforma ControlThings que es una distribución Linux específica para encontrar vulnerabilidades en sistemas de control industrial, sin olvidarnos de herramientas como las de inventariado de activos, diseñadas para poder ser aplicadas en entornos OT4 y entre las que se pueden citar IND de Cisco, eyesight de ForeScout (éstas últimas de pago) o GRASSMARLIN que, siendo open source, mapea de forma masiva la red y muestra visualmente la topología de los SCI/SCADA presentes en ésta. Aspectos susceptibles de ser atacados en un entorno OT de manera específica se pueden encontrar en bases de datos como la de MITTRE-ATT&CK.
Sin embargo, estos intentos de estandarización no son suficientes y se hace imprescindible seguir avanzando en distintos frentes apoyando iniciativas como las siguientes;
Permitir que los expertos del entorno OT tomen la iniciativa y aprendan a protegerse. Formarles en la forma correcta de configurar los dispositivos propios de estas redes, haciendo dicha configuración más simple para no expertos en IT y evitando así la posibilidad de realizar configuraciones erróneas por desconocimiento (simplificar la seguridad).
Mejorar la adaptación de las soluciones SIEM (Security Information and Event Management) a las redes OT, para que sean menos intrusivas que las actuales y aprendan a identificar patrones propios de las redes industriales, permitiendo una identificación temprana de situaciones anómalas .
Poner en prácticas nuevas formas de ciber proteger los sistemas industriales, no centradas en la actualización continua del software y/o la realización periódica de inversiones6.
Hasta no hace mucho, los sistemas OT han vivido desconectados del mundo exterior y por ello, con una falsa sensación de seguridad. Sin embargo la protección de estos entornos OT debe ser priorizada, así como la creación de nuevos perfiles profesionales en ciberseguridad capaces de entender las necesidades y particularidades de los entornos OT.
Robos de identidad y datos de usuario, ransomware, phising, pharming o ataques de denegación de servicio, son términos que escuchamos cada vez más en los medios de comunicación1,2,3,4. El mundo hiperconectado en el que vivimos hace que las empresas como entidades productivas estén cada vez más expuestas a ser objeto de un delito cibernético5,6,7. Las campañas existentes para concienciar en ciberseguridad son muy diversas pero, ¿ cómo pueden las empresas blindarse ante todas estas amenazas sin llegar a comprometer sus objetivos finales de negocio?
Tradicionalmente la orquestación de la ciberseguridad en entornos industriales ha sido delegada casi en exclusiva al departamento IT de las empresas, que han centrado su trabajo en proteger las redes ofimáticas, aplicando estándares y normativas bien conocidas como: ISO/IEC 27001, ISO/IEC 15408, o la ISO/IEC 19790. Para estos equipos expertos en ciberseguridad, «no hay mejor defensa que un buen ataque». Esta frase del general chino Sun Tzu (autor de la obra «El Arte de la Guerra», considerada una obra maestra sobre la estrategia) subyace en el fondo de los conocidos como test de penetración (o pentesting). Los test de penetración son básicamente un conjunto de ataques simulados dirigidos a un sistema informático con la única finalidad de detectar posibles debilidades o vulnerabilidades para que sean corregidas y no puedan ser explotadas 8. ¿Y por qué son tan importantes estos test? Porque diversos estudios muestran que la mayoría de los ataques aprovechan vulnerabilidades ya conocidas y recogidas en bases de datos como las de CVE,OWASP o NIST que por diversas razones no son corregidas 9,10.
Dentro del sector IT algunas de las metodologías y marcos de auditorías de seguridad más conocidos para hacer pentesting son: Open Source Security Testing Methodology Manual (OSSTMM), Information Systems Security Assessment Framework (ISSAF), Open Web Application Security Project (OWASP), y Penetration Testing Execution Standard (PTES). Cada una de estas metodologías adopta una estrategia diferente para las pruebas de penetración en función del tipo de aplicativo a auditar (móvil nativo, web, infraestructura, …), siendo en este sentido complementarias.
A nivel más práctico, los equipos de IT disponen de una gran cantidad de herramientas para realizar estos test, tanto gratuitas y/o de código abierto como comerciales. Algunas de las más conocidas son: Metasploit, Community Edition, Nessus, Edición personal, Saint, Nmap, Netcat,Burp Suite, John the Ripper o Wireshark. La mayor parte de estas herramientas viene ya pre-instaladas en distribuciones específicas para realizar test de penetración como son Kali Linux, BlackArch Linux o Parrot Security.
Sin embargo, las redes ofimáticas a cargo del departamento IT no son las únicas existentes en una empresa industrial. Hoy en día cada vez son más los recursos utilizados en la producción (PLC, SCADA, …), normalmente interconectados por buses de campo compatibles con el protocolo TCP/IP de Internet, como por ejemplo PROFIENT o MODBUS TCP. Desde ellos, gracias a la función de enrutado disponible en PLC´ s de diversas marcas, es posible acceder mediante pasarelas (gateways) a segmentos de otros buses de campo a los que anteriormente no se podía acceder desde el exterior, como, por ejemplo, PROFIBUS11 . Esta interconexión entre las redes IT (Information Technology) y OT (Operation Technology), tan necesaria al hablar de Industria 4.0, aumenta las posibilidades que tiene la industria de ser objeto de ciberataque.
En la próxima entrega, hablaremos de cómo podemos defendernos de tal amenaza…
