Claves para que los fabricantes se adapten a las regulaciones de ciberseguridad en IoT

Internet de las cosas (IoT) se está expandiendo rápidamente, y el número de dispositivos conectados está aumentando a un ritmo sin precedentes. Un hecho que, junto con la creciente dependencia de estos dispositivos, pone énfasis en la apremiante necesidad de realizar cambios en el ámbito de la ciberseguridad.

Para proteger la información personal almacenada en estos dispositivos conectados, los gobiernos de todo el mundo han comenzado a introducir regulaciones destinadas a mejorar su seguridad estándar. Dos ejemplos de ello son Estados Unidos y la Unión Europea.

En Estados Unidos, la Ley de Mejora de la Ciberseguridad de IoT se aprobó en 2020, y el Instituto Nacional de Estándares y Tecnología (NIST) se encargó de crear un estándar de ciberseguridad para este ámbito. En mayo de 2021, la administración de Biden publicó una Orden Ejecutiva para mejorar la ciberseguridad nacional, y en octubre de 2022, la Casa Blanca publicó una hoja informativa para implementar una etiqueta para dispositivos IoT, comenzando con enrutadores y cámaras domésticas, para indicar su nivel de ciberseguridad.

En la Unión Europea, el Parlamento ha introducido la Ley de Ciberseguridad y la Ley de Resiliencia Cibernética, que imponen varios requisitos que los fabricantes deben cumplir antes de que un producto pueda recibir el marcado CE y ser colocado en el mercado europeo. Esto incluye etapas de evaluación e informes y gestión de ataques cibernéticos o vulnerabilidades a lo largo del ciclo de vida del producto. Además, el Reglamento General de Protección de Datos (GDPR) también se aplica a las empresas que operan dentro de la UE y que exige la implementación de medidas técnicas y organizativas adecuadas para la protección de los datos personales.

Para poder cumplir con estas nuevas normativas y estándares de seguridad, los fabricantes de dispositivos IoT deberán implementar estos seis elementos:

Actualizaciones de software: los fabricantes deben proporcionar la opción de actualizaciones de firmware y garantizar su validez e integridad, especialmente para los parches de seguridad.

Protección de datos: las regulaciones siguen el concepto de "minimización de datos", recopilando solo los necesarios con el consentimiento del usuario y manejando y almacenando de forma segura los datos confidenciales de manera cifrada.

Evaluación de riesgos: los desarrolladores deben seguir un proceso de gestión de riesgos durante la fase de diseño y desarrollo y durante todo el ciclo de vida del producto, incluido el análisis de vulnerabilidades y exposiciones comunes (CVE) y la publicación de parches para nuevas vulnerabilidades.

Configuración del dispositivo: los dispositivos deben liberarse con una configuración de seguridad predeterminada y tener componentes peligrosos eliminados, interfaces cerradas cuando no están en uso y una superficie de ataque minimizada a través del "principio de privilegio mínimo" para los procesos.

Autenticación y autorización: los servicios y la comunicación deben requerir autenticación y autorización, con protección contra ataques de inicio de sesión de fuerza bruta y una política de complejidad de contraseñas.

Comunicación segura: la comunicación entre los activos de IoT debe autenticarse y cifrarse, utilizando protocolos y puertos seguros.