El Internet de las cosas (IoT) se está expandiendo rápidamente, y el número de dispositivos conectados está aumentando a un ritmo sin precedentes. Un hecho que, junto con la creciente dependencia de estos dispositivos, pone énfasis en la apremiante necesidad de realizar cambios en el ámbito de la ciberseguridad .
Tal y como muestran los informes de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, sólo el 11% de las pymes españolas cuenta actualmente con una solución de seguridad de IoT completa, quedando un 52% completamente desprotegido sin ninguna solución desplegada. Datos que se ven directamente reflejados en el aumento de ataques recibidos durante 2002, habiendo llegado el 67% de estas empresas a experimentar incidentes relacionados con la ciberseguridad.
En orden de proteger la información personal almacenada en estos dispositivos conectados, los gobiernos de todo el mundo han comenzado a introducir regulaciones destinadas a mejorar su seguridad estándar.
En los Estados Unidos, la Ley de Mejora de la Ciberseguridad de IoT se aprobó en 2020, y el Instituto Nacional de Estándares y Tecnología (NIST) se encargó de crear un estándar de ciberseguridad para este ámbito. En mayo de 2021, la administración de Biden publicó una Orden Ejecutiva para mejorar la ciberseguridad nacional, y en octubre de 2022, la Casa Blanca publicó una hoja informativa para implementar una etiqueta para dispositivos IoT, comenzando con enrutadores y cámaras domésticas, para indicar su nivel de ciberseguridad.
Por su parte en la Unión Europea, el Parlamento Europeo ha introducido la Ley de Ciberseguridad y la Ley de Resiliencia Cibernética, que imponen varios requisitos que los fabricantes deben cumplir antes de que un producto pueda recibir el marcado CE y ser colocado en el mercado europeo. Esto incluye etapas de evaluación e informes y gestión de ataques cibernéticos o vulnerabilidades a lo largo del ciclo de vida del producto. Además, el Reglamento General de Protección de Datos (GDPR) también se aplica a las empresas que operan dentro de la UE, exigiendo la implementación de medidas técnicas y organizativas adecuadas para la protección de los datos personales.
Sin embargo, para poder cumplir con estas nuevas normativas y estándares de seguridad, Check Point Software detalla seis elementos clave que los fabricantes de dispositivos IoT deberán comenzar a implementar:
· Actualizaciones de software: los fabricantes deben proporcionar la opción de actualizaciones de firmware y garantizar su validez e integridad, especialmente para los parches de seguridad.
· Protección de datos: las regulaciones siguen el concepto de «minimización de datos», recopilando solo los necesarios con el consentimiento del usuario y manejando y almacenando de forma segura los datos confidenciales de manera cifrada.
· Evaluación de riesgos: los desarrolladores deben seguir un proceso de gestión de riesgos durante la fase de diseño y desarrollo y durante todo el ciclo de vida del producto, incluido el análisis de vulnerabilidades y exposiciones comunes (CVE) y la publicación de parches para nuevas vulnerabilidades.
· Configuración del dispositivo: los dispositivos deben liberarse con una configuración de seguridad predeterminada y tener componentes peligrosos eliminados, interfaces cerradas cuando no están en uso y una superficie de ataque minimizada a través del «principio de privilegio mínimo» para los procesos.
· Autenticación y autorización: los servicios y la comunicación deben requerir autenticación y autorización, con protección contra ataques de inicio de sesión de fuerza bruta y una política de complejidad de contraseñas.
· Comunicación segura: la comunicación entre los activos de IoT debe autenticarse y cifrarse, utilizando protocolos y puertos seguros.
Sin embargo, cumplir con estas regulaciones puede ser un desafío debido a su complejidad. Para facilitar el proceso, varias certificaciones y estándares como UL MCV 1376, ETSI EN 303 645, ISO 27402 y NIST. IR 8259 se han introducido para dividir las regulaciones en pasos prácticos.
