Internet de las cosas (IoT) es un término utilizado para describir una amplia variedad de dispositivos que están conectados a Internet para mejorar la experiencia del usuario. Por ejemplo, un timbre se convierte en parte del IoT cuando se conecta a Internet y permite a los usuarios ver a los visitantes fuera de su puerta.

Pero la forma en que algunos de estos dispositivos IoT se conectan genera serias preocupaciones de seguridad y privacidad . Esto ha llevado a peticiones de leyes y regulaciones en la producción y comercialización de dispositivos IoT, que incluyen características de seguridad mejoradas y una mejor visibilidad de la seguridad de esas características.

Nuestros leales lectores han visto nuestras quejas habituales sobre la seguridad integrada de los dispositivos IoT y saben lo preocupados que estamos por los productos que están diseñados para optimizar la funcionalidad y el costo sobre la seguridad. Muchos fabricantes esperan que los consumidores se preocupen más por la facilidad de uso que por la seguridad.

Pero si bien esto puede ser cierto para muchos consumidores, la aparente indiferencia también puede explicarse por la falta de opciones comparables. Si los consumidores tuvieran la opción de elegir entre un dispositivo que sea barato, fácil de usar e inseguro y un dispositivo que sea un poco más costoso pero que mantenga a los usuarios protegidos, nuestra apuesta es que habría una buena parte de los consumidores que seleccionarían el más seguro opción.

Si bien algunos estados y países tienen leyes que exigen que los fabricantes produzcan productos «seguros», esto no ayuda a los consumidores a tomar una decisión. En el mejor de los casos, limita su elección ya que algunos productos inseguros no llegarán al mercado. Para ayudar a los usuarios a tomar una decisión informada, algunos países han decidido introducir un nuevo esquema de etiquetado de ciberseguridad (CLS) que proporciona a los consumidores información sobre la seguridad de los dispositivos inteligentes conectados.

Países que introducen un esquema de etiquetado de ciberseguridad

En noviembre de 2019, Finlandia se convirtió en el primer país de Europa en otorgar certificados de seguridad de la información a dispositivos que pasaron las pruebas requeridas. Su razonamiento fue que el nivel de seguridad de los dispositivos en el mercado varía mucho, y no hay una manera fácil para que los consumidores sepan qué productos son seguros y cuáles no. Como servicio al público, se lanzó un sitio web para facilitar la búsqueda de información sobre los dispositivos que han recibido la etiqueta.

El 27 de enero de 2020, el ministro digital del Reino Unido, Matt Warman, anunció una nueva ley para proteger a millones de usuarios de IoT de la amenaza de ciberataque. El plan es asegurarse de que todos los dispositivos inteligentes de consumo vendidos en el Reino Unido cumplan con rigurosos requisitos de seguridad para Internet de las cosas (IoT).

Poco después del Reino Unido, la Agencia de Seguridad Cibernética de Singapur (CSA) anunció planes para introducir un nuevo Esquema de etiquetado de seguridad cibernética (CLS) a finales de este año para ayudar a los consumidores a tomar decisiones de compra informadas sobre dispositivos inteligentes conectados a la red.

Como parte de la iniciativa, CLS abordará la seguridad de los dispositivos IoT, un área creciente de preocupación. El CLS, que es el primero en la región de Asia y el Pacífico, se presentará por primera vez a dos tipos de productos: enrutadores WiFi y concentradores domésticos inteligentes.

Lectura recomendada: 8 formas de mejorar la seguridad en dispositivos domésticos inteligentes

Los objetivos de un esquema de etiquetado de ciberseguridad

El esquema de etiquetado de ciberseguridad se alineará con los estándares de seguridad aceptados globalmente para los productos de Internet de las cosas para consumidores. Significará que se introducirán estándares de seguridad sólidos desde la etapa de diseño y no se atornillarán como una ocurrencia tardía.

El esquema propone que dichos dispositivos deben llevar una etiqueta de seguridad para ayudar a los consumidores a navegar por el mercado y saber en qué dispositivos confiar, y para alentar a los fabricantes a mejorar la seguridad. La idea es que, de forma similar a cómo las etiquetas Bluetooth y WiFi ayudan a los consumidores a sentirse seguros de que sus productos funcionarán con protocolos de comunicación inalámbrica, una etiqueta de seguridad infundirá confianza en los consumidores de que su dispositivo fue construido de acuerdo con los estándares de seguridad.

El CLS de Singapur es el primer sistema de calificación de ciberseguridad de su tipo en la región APAC, y está dirigido principalmente a ayudar a los consumidores a tomar decisiones informadas. La calificación de un producto se decidirá en una serie de evaluaciones y pruebas que incluyen, entre otras:

  • Cumplir con los requisitos básicos de seguridad (por ejemplo, contraseñas predeterminadas únicas)
  • Adhesión a los principios de seguridad por diseño de software y hardware
  • Las vulnerabilidades comunes de seguridad del software deberían estar ausentes
  • Resistente a la actividad básica de pruebas de penetración.

Lo mismo es cierto para la ley que se está preparando para el Reino Unido. Sus requisitos de seguridad principales son:

  • Todas las contraseñas de dispositivos conectados a Internet del consumidor deben ser únicas y no reiniciables a ninguna configuración de fábrica universal.
  • Los fabricantes de dispositivos de IoT para consumidores deben proporcionar un punto de contacto público para que cualquiera pueda informar una vulnerabilidad, y se actuará de manera oportuna.
  • Los fabricantes de dispositivos de IoT para consumidores deben indicar explícitamente el período mínimo de tiempo durante el cual el dispositivo recibirá actualizaciones de seguridad en el punto de venta, ya sea en la tienda o en línea.

Como puede ver en ambos casos, la principal preocupación era la omnipresencia de contraseñas predeterminadas que eran las mismas para toda una serie de dispositivos. Y además de eso, los usuarios no fueron informados claramente de que necesitaban cambiar la contraseña predeterminada, y a menudo era difícil cambiarla para el usuario promedio.

Optimizando el CLS

Aplaudimos los esfuerzos realizados por los gobiernos para mejorar la seguridad general de los dispositivos IoT, pero hay algunas mejoras que nos gustaría sugerir.

  • El sitio finlandés está disponible en finlandés y sueco. Para un extraño, es difícil saber qué productos están aprobados y por qué. Una versión en inglés sería un gran paso adelante.
  • Las leyes en el Reino Unido y California son un buen comienzo, pero podrían haber sido más restrictivas. Y no informan a un cliente sobre la seguridad de un dispositivo cuando buscan comprar en una tienda web que podría estar en el extranjero.
  • El CLS de Singapur por ahora se enfoca en enrutadores y centros de hogares inteligentes porque los consideran las puertas de entrada al resto de la familia. Si bien esto tiene sentido, es un alcance limitado.

Lo que todas estas regulaciones tienen en común es que solo informan al cliente si un dispositivo ha pasado la lista en un determinado estado o país. Ciertamente, podemos llegar a un esquema global que ofrezca a los clientes un nivel de seguridad entre «no compre esto» y «muy seguro» como lo tenemos para la eficiencia energética en la UE.

Etiquetas energéticas de la UE

Pero alegrémonos por ahora de que estos gobiernos están comenzando en un esfuerzo muy necesario para mejorar los dispositivos e informar a los clientes. Esperemos que los diversos esquemas de etiquetado de seguridad ayuden a los consumidores a tomar una decisión informada e impulsen a los fabricantes a centrarse más en la seguridad. Y que otros gobiernos seguirán sus ejemplos.