La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA)

En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation), lo que ha facilitado la creación de cientos de miles de bots (robots software) en los entornos de tecnología de miles de empresas a nivel global. Este pequeño ejército de automatismos interactúa de forma rutinaria con los empleados conformando una nueva “fuerza de trabajo digital” (digital workforce).

Estos automatismos, conocidos como bots, son normalmente una versión moderna y ágil de complejos scripts de múltiples sistemas y, por ello, podrán procesar hojas de cálculo, descargar adjuntos de buzones de correo, planificar procesos o cuadrar informes contables. Personas relacionadas con los procesos de negocio pueden ahora (con una formación muy suave y muchas utilidades) programar potentes bots al margen del departamento de IT o de proveedores externos. Es la aproximación conocida como low code.

En los últimos años, el sector RPA ha añadido diversas herramientas relacionadas con la Inteligencia Artificial a sus suites de software. Con este refuerzo, evitaremos escribir complejos programas de ordenador y utilizar aproximaciones como Machine Learning para que el sistema sea entrenado (por ejemplo, detectando campos en todo tipo de facturas, en cualquier idioma) y continúe aprendiendo con el tiempo. A esta mejora se le sueñe añadir alguna función de tipo NLP (Procesamiento del lenguaje natural o Neuro-Linguistic Programming, en inglés) que permite a la vez, tener un primer nivel de comprensión de información textual (mensajes de correo electrónico o en chats con clientes) en múltiples idiomas.

Toda esta potencia de fuego es una realidad en miles de empresas donde los procesos financieros y las empresas de seguros aglutinan la mayoría de los empleados digitales. Las empresas industriales, de logística o telecomunicaciones llevan varios años utilizando esta tecnología de forma intensa también.

Desde el punto de vista de la ciberseguridad, los escenarios RPA pueden ser un nuevo foco de ataques de diversos tipos. Los distintos fabricantes de estas plataformas dotan a los creadores de bots de todas las funcionalidades posibles en cuanto a cifrado de datos, autenticación, uso de plataformas externas de identidad empresarial, etc. De forma que se permita la creación de plataforma de robótica de procesos realmente sólidas en cuanto a lo que seguridad se refiere.

Tipos de ataque contra las RPA

Los ataques que se intentarán con mas probabilidad en un despliegue RPA tendrán que ver normalmente con la autenticación, sobre todo cuando el entorno sea complejo (federación, MFA, 2FA, etc.) y el ataque a las consolas centrales (donde se almacenará el Log del sistema, las autorizaciones, los cofres de credenciales, etc.). Debemos recordar que los bots que interactúen con nuestros sistemas empresariales, necesitarán juegos de credenciales análogos a los que utilizan los empleados humanos.

Un segundo vector de ataque será el relacionado con el código fuente y las posibles debilidades del habitual ecosistema de programadores propios, empresas de servicios, subcontratistas, etc. Si no se extreman las medidas de desarrollo seguro (un marco tipo DevSecOps, por ejemplo) y se maximizan las mejores prácticas (como el uso de cofres de credenciales, en lugar de contraseñas en claro) o sistemas externos de autenticado (para las cuentas con mayores privilegios), generaremos involuntariamente una gran superficie de ataque para nuestros adversarios.

Los sistemas de entrenamiento y otras funciones de la Inteligencia Artificial deberán ser revisadas siguiendo estas buenas prácticas para evitar facilitar vulnerabilidades en los sistemas finales que pondremos en producción.

Los grandes marcos de la ciberseguridad (como el del NIST en Estados Unidos) pueden ser aplicados para revisar toda la colección de controles que deberemos tener en consideración a la hora de desarrollar nuestra solución RPA específica.

En una empresa con fuerza de trabajo mixta (empleados humanos y robots software), el nivel de monitorización constante y el gobierno de la ciberseguridad no pueden pasar por alto a estos nuevos “empleados digitales” y a toda la tecnología que los mantiene activos. Ellos, como nosotros, iniciarán sesión en los sistemas, crearán y utilizarán ficheros con información sensible y actuarán directamente sobre nuestras plataformas empresariales (ERP, CRM, etc.) posiblemente en formato 24×7. Si estas plataformas son vulnerables y ofrecen una gran superficie de ataque, una nueva generación de riesgos de ciberseguridad comenzará a aparecer en la agenda de cada CISO.

Por todo ello, nuestro planteamiento actual de ciberseguridad debe irse preparando paulatinamente para incluir este tipo de plataformas, procesos y actividad en su cobertura. Pronto será parte de nuestra realidad cotidiana y debemos estar preparados.