Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ciberseguridad en la impresión 3D

Fecha de publicación 02/05/2019
Autor
José Manuel Roviralta Puente (INCIBE)
Blog sobre la ciberseguridad en la impresión 3D

En la actualidad, la impresión 3D es una tecnología que ha ido ganando popularidad y se ha ido haciendo más común, hasta el punto de poder disponer de una de estas impresoras en nuestro propio hogar. El surgimiento de impresoras bajo licencias Open Source Hardware ha conseguido que uno mismo pueda comprar las piezas para montar su propia impresora 3D o incluso kits DIY (Do It Yourself) con las piezas necesarias para montarlas a precios muy económicos.

Por otra parte, tiene las ventajas de poder diseñar e imprimir nuestros propios diseños, ya sea por afición o por trabajo en un corto periodo de tiempo, unido a la posibilidad de desarrollar proyectos a medida según las necesidades y exigencias. 

Este prototipado rápido de los proyectos permite rectificar de forma ágil los diseños, del mismo modo que permitiría imprimir algún repuesto de forma temporal para mantener la continuidad del negocio hasta obtener el repuesto original.

Pero una impresora 3D no se diferencia del resto de dispositivos electrónicos que tenemos en casa o en la oficina y, al igual que ellos, se encuentra expuesta a ser objetivo de ataques. Al ser una tecnología relativamente nueva y que ha adquirido gran popularidad, no se libra de los mismos problemas que tienen otros dispositivos más «experimentados» en el ámbito de la ciberseguridad. Espionaje industrial, sabotaje o vulnerabilidades son algunos de los problemas a los que se debe enfrentar la impresión 3D.

Industria de la impresión 3D

La industria de la impresión 3D se encuentra en constante crecimiento, tanto en el uso de estos dispositivos para la elaboración de prototipos tridimensionales  como en el servicio de impresión de piezas bajo demanda o el desarrollo de elementos hardware y software. Todo se recoge bajo una corriente cultural conocida como movimiento maker, a su vez surgida de la cultura DIY.

Esta cultura maker apuesta por la fabricación de las piezas, electrónica, hardware o software, pasando por todas las fases de un proyecto, realizándolas uno mismo o de manera colectiva. En la mayoría de los casos, se comparten los conocimientos o los diseños con el resto de la comunidad.

Esto ha permitido un crecimiento de esta industria, no solo a nivel de servicio de impresión de piezas, sino que engloba toda una cadena de diseñadores, ingenieros, desarrolladores, fabricantes y proveedores de repuestos.

Hoy en día, la tecnología más empleada a la hora de realizar impresiones 3D es la impresión mediante fabricación con filamento fundido, del inglés Fused Filament Fabrication (FFF). Se basa en ir depositando capas de material fundido para la impresión de piezas, en la mayoría de los casos son materiales plásticos, pero es posible imprimir otros materiales como cerámica, metales, alimentos; destacando el ámbito de la medicina donde se están haciendo avances en la impresión de tejidos biológicos como cartílago o hueso.

Desafíos en ciberseguridad

Ampliando lo mencionado anteriormente en la introducción, la impresión 3D no se queda exenta de presentar desafíos en materia de ciberseguridad. La popularidad que está alcanzando esta tecnología es el factor por el cual los cibercriminales están empezando a fijar el punto de mira en las impresoras 3D. Se han dado casos en los cuales dichas impresoras 3D han sido el principal objetivo de ataques informáticos.

Hay que tener en cuenta que una impresora 3D es también un dispositivo embebido y, como cualquier otro dispositivo de estas características, no está exento de ser objetivo de ataques. 
Las amenazas a las que se enfrenta la impresión 3D son:

  • Vulnerabilidades

    • Un gran número de impresoras 3D emplean un firmware de código abierto denominado Marlin. Este firmware es empleado para controlar y configurar las impresoras 3D. En el año 2018 apareció una vulnerabilidad de severidad alta (CVE-2018-1000537) en ese firmware que podía permitir la ejecución arbitraria de código.
    • Octoprint, es un software de código abierto muy extendido en el mundo de la impresión 3D. Este software permite monitorizar, gestionar y controlar la impresora 3D en remoto desde el navegador web o app móvil. En marzo 2018 se detectó una vulnerabilidad en Octoprint que dejaba la impresora 3D expuesta a una intrusión a través de Internet.
  • Configuraciones incorrectas

    • Se han reportado casos en los cuales, debido a una mala configuración de Octoprint, se dejaba expuesta la impresora 3D en Internet. En septiembre de 2018 se reportaron sobre 3700 instancias de Octoprint expuestas en la red. Esto implica que un atacante podría acceder a la red donde se encuentre Octoprint, así como acceder a otros servicios de la impresora 3D como, por ejemplo, gestionar las impresiones.

  • Sabotaje industrial

    • Existen casos documentados en los que atacantes han manipulado las impresoras 3D o los archivos donde se encuentran las especificaciones para imprimir las piezas, con el fin de malograr los resultados de las impresiones. Muchas veces, estos archivos son utilizados para el prototipado rápido de piezas, un sabotaje de este tipo podría suponer un retraso importante en el diseño de un producto, repercutiendo económicamente al proyecto y la empresa.

  • Espionaje

    • Al igual que ocurre en el punto anterior, es posible que no solo se realice un sabotaje, sino que directamente roben los diseños de los prototipos para luego obtener una ventaja en el mercado o venderlo a las compañías rivales por un módico precio.

    • Otro tipo de espionaje es el que ofrecen las cámaras integradas en las impresoras 3D para la monitorización de su trabajo, pudiendo ser empleadas para saber en qué tareas se está empleando la impresora, así como conocer el entorno cercano a la impresora o las rutinas que siguen los operarios.

Imagen impresora 3D cartesiana

Posibles soluciones

Las posibles medidas a tomar podrían implementarse tanto a nivel lógico como físico a la hora de proteger la impresora 3D. Los diseños o prototipos podrían utilizar cifrados robustos conocidos y la implementación de sistemas de firma en la generación, trasmisión y almacenamiento tanto del código, como de los ficheros donde se almacenan las piezas. También es posible mejorar la seguridad perimetral donde se encuentre la impresora 3D, junto con la restricción de acceso solo al personal cualificado, que podrían impedir la manipulación o sustracción.

Mediante un sistema de firma, solo se permitiría imprimir piezas de las cuales se conozca su procedencia con el software de laminado autorizado; igualmente la impresora 3D solo podría trabajar con firmwares y piezas firmados. 

El cifrado, tanto en la memoria de almacenamiento de la impresora, como en el equipo donde se generen los ficheros de elaboración de piezas, puede ayudar a proteger la propiedad intelectual de los diseños de los prototipos y los parámetros de configuración de la impresora 3D. 

Implementando ambas medidas, se conseguiría que las impresiones no pudiesen ser manipuladas por terceros y la impresión fuese de piezas válidas.

Otro elemento a tener en cuenta es deshabilitar los servicios o funcionalidades de la impresora 3D que no sean necesarios. Si se va a usar en un entorno controlado, aislar la impresora 3D de Internet puede impedir que se convierta en un vector de ataque, así como instaurar una política de actualizaciones de software que solucione las posibles vulnerabilidades que pudiesen aparecer en un futuro.

El empleo de todas estas medidas podrían ser pautas a seguir a la hora de securizar a nivel lógico la impresora 3D y su ecosistema digital.

Deshabilitar el sistema de vigilancia web, en el supuesto de no necesitar esta funcionalidad, o restringir el acceso físico solo a personal autorizado, puede evitar fugas de información o la posibilidad de que un intruso que se encuentre en la organización manipule o realice labores de espionaje, sabotaje o robo sobre la impresora 3D. Así, se otorgaría una capa de seguridad física alrededor de la impresora.

Conclusiones

Al igual que pasa con todo dispositivo IoT, una correcta configuración de los elementos, servicios y entorno de la impresora 3D pueden evitar que esta suponga un agujero de seguridad.

Añadir la seguridad como un elemento más en el proceso de diseño a la hora de crear dispositivos, software, prototipos o tecnologías es un factor clave que debe implantarse como norma. Las ventajas que se obtienen son muy numerosas con la consecuente creación de nuevos  productos más seguros y eliminando posibles agujeros de seguridad ya conocidos.