Categorías: Actualidad

Las complicaciones regulatorias sobre la seguridad de la Internet de las Cosas

Aunque en general los usuarios y empresas están concienciados sobre la importancia de la seguridad en la Internet de las Cosas, las normativas y regulaciones al respecto no siempre acompañan. En el caso de los países europeos, por ejemplo, se sigue trabajando todavía en el Parlamento Europeo sobre la reforma de la ciberseguridad en Europa que implica la mejora de la Agencia de Ciberseguridad de la UE (ENISA), nuevas certificaciones a escala de la UE y la Directiva SRI sobre seguridad de las redes y sistemas de información.
 

 

 

Cómo está planteada la regulación

 
Sin embargo, no está todavía muy claro si esa normativa será realmente útil para la Internet de las Cosas actual, dado que como han apuntado algunos grupos de consumidores se deja fuera algunos productos de uso cotidiano, como los aparatos domésticos «conectados» y los smartwatches. Y en un mundo en el que desde la báscula a la televisión y hasta algunos microondas están ya conectados a Internet, esto podría no ser suficiente.

La regulación está planteada de modo que sólo parece afectar a los productos y servicios de más alto riesgo, lo cual va desde las instalaciones industriales de energía a los hospitales, coches o marcapasos. Pero tal y como dice el Consejo de Europa, «la Internet de las Cosas es ya una realidad y se prevé que para 2020 haya decenas de miles de millones de dispositivos digitales conectados en la Unión Europea».

Esa reforma podría no abarcar lo suficiente si se deja fuera a los usuarios que llevan en sus muñecas toda su «vida digital», incluyendo la identificación para realizar pagos, los datos biométricos de seguridad o los de salud. O para dispositivos que manejan información con un grado de privacidad muy alto –como en el caso de las cámaras de seguridad– o para ciertos grupos específicos, como los niños y sus juguetes contactados, que quizá también deberían estar incluidos.

Tomemos el ejemplo de California, que se ha convertido en el primer estado en tener una legislación específica para la IoT. Entre los requerimientos que incluyen sus normativas –que entrarán en funcionamiento en 2020– se incluyen todos los dispositivos que «directa o indirectamente se conectan a Internet». Entre otras cosas deben «incluir medidas de seguridad razonables de acceso, modificación o consulta de datos».
 

Qué deberían incluir las normativas

 
El tipo de medidas que estas normativas deberían incorporar, según los expertos, incluiría la obligación para los fabricantes de cumplir ciertos estándares al menos respecto a:

• Posibilidad de actualizar los dispositivos
• Posibilidad de cambiar las contraseñas
• Actualizaciones de seguridad frecuentes
• Sistemas de cifrado de última generación
• Contraseñas fuertes, distintas para cada dispositivo

Aunque las normas de la legislación de California, como las de la regulación europea, no son del todo específicas, al menos marcan las líneas a seguir. Los fabricantes y empresas de servicios (y naturalmente la Administración) pueden exigir trabajar con productos que cumplan esos estándares. Eso sí, cualquier país y cualquier empresa puede adelantarse adoptando ya este tipo de medidas por iniciativa propia, antes de que sean obligatorias.
 

Una contraseña personalizada para cada aparato

 
De este modo los dispositivos que no se puedan actualizar (corrigiendo así defectos de fabricación o seguridad) o que ni siquiera permitan cambiar la contraseña (desde «bombillas conectadas» a cámaras) se quedarían fuera. Nos acostumbraríamos a que cada aparato viniera con su contraseña personalizada –como ya hacen los routers wifi de las operadoras– y no al clásico «admin/admin» por defecto. Las actualizaciones frecuentes y los sistemas de cifrado más modernos harían más difíciles los ataques automatizados y de redes de bots. Todo a favor de una seguridad que cada vez se está volviendo más relevante en un mundo en el que desde el termostato a la aspiradora o el automóvil están cada vez más conectados a Internet de forma casi ineludible.

 

 


{Infografía: Consejo de la Unión Europea / Reforma de la ciberseguridad en Europa}

Álvaro Ibáñez

Álvaro Ibáñez. Editor de Microsiervos, uno de los más conocidos blogs de divulgación sobre ciencia, tecnología e Internet en castellano. Participó en el nacimiento de proyectos españoles de internet como Ya.com/Jazztel y Terra/Telefónica.

Compartir
Publicado por
Álvaro Ibáñez

Entradas recientes

Así está revolucionando España el Internet de las Cosas (IoT)

Estamos observando una revolución silenciosa pero impactante, propiciada por el Internet de las Cosas (IoT).…

Hace 2 días

Claves para migrar servicios a la nube: la importancia de una estrategia sólida

En un mercado inundado de opciones de servicio Cloud, las empresas deben decidir cuidadosamente cuál…

Hace 3 semanas

IA: un camino lleno de incertidumbre que está transformando nuestro día a día

La Inteligencia Artificial (IA) uno de los temas más discutidos y fascinantes de nuestro tiempo.…

Hace 1 mes

Backup y recuperación de datos: el starter pack de la ciberseguridad corporativa

En un panorama empresarial marcado por una digitalización acelerada, la gestión de la información se…

Hace 2 meses

La ciberseguridad está en el centro de cualquier estrategia TI empresarial

Desde nuestros inicios hace 30 años, hemos observado de cerca la transformación de Internet, de…

Hace 2 meses

Solo en casa

Que vivimos una verdadera epidemia de ciberataques no es ningún secreto. La situación de hecho…

Hace 2 meses