Las complicaciones regulatorias sobre la seguridad de la Internet de las Cosas

Aunque en general los usuarios y empresas están concienciados sobre la importancia de la seguridad en la Internet de las Cosas, las normativas y regulaciones al respecto no siempre acompañan. En el caso de los países europeos, por ejemplo, se sigue trabajando todavía en el Parlamento Europeo sobre la reforma de la ciberseguridad en Europa que implica la mejora de la Agencia de Ciberseguridad de la UE (ENISA), nuevas certificaciones a escala de la UE y la Directiva SRI sobre seguridad de las redes y sistemas de información.
 

Cómo está planteada la regulación

 
Sin embargo, no está todavía muy claro si esa normativa será realmente útil para la Internet de las Cosas actual, dado que como han apuntado algunos grupos de consumidores se deja fuera algunos productos de uso cotidiano, como los aparatos domésticos «conectados» y los smartwatches. Y en un mundo en el que desde la báscula a la televisión y hasta algunos microondas están ya conectados a Internet, esto podría no ser suficiente.

La regulación está planteada de modo que sólo parece afectar a los productos y servicios de más alto riesgo, lo cual va desde las instalaciones industriales de energía a los hospitales, coches o marcapasos. Pero tal y como dice el Consejo de Europa, «la Internet de las Cosas es ya una realidad y se prevé que para 2020 haya decenas de miles de millones de dispositivos digitales conectados en la Unión Europea».

Esa reforma podría no abarcar lo suficiente si se deja fuera a los usuarios que llevan en sus muñecas toda su «vida digital», incluyendo la identificación para realizar pagos, los datos biométricos de seguridad o los de salud. O para dispositivos que manejan información con un grado de privacidad muy alto –como en el caso de las cámaras de seguridad– o para ciertos grupos específicos, como los niños y sus juguetes contactados, que quizá también deberían estar incluidos.

Tomemos el ejemplo de California, que se ha convertido en el primer estado en tener una legislación específica para la IoT. Entre los requerimientos que incluyen sus normativas –que entrarán en funcionamiento en 2020– se incluyen todos los dispositivos que «directa o indirectamente se conectan a Internet». Entre otras cosas deben «incluir medidas de seguridad razonables de acceso, modificación o consulta de datos».
 

Qué deberían incluir las normativas

 
El tipo de medidas que estas normativas deberían incorporar, según los expertos, incluiría la obligación para los fabricantes de cumplir ciertos estándares al menos respecto a:

• Posibilidad de actualizar los dispositivos
• Posibilidad de cambiar las contraseñas
• Actualizaciones de seguridad frecuentes
• Sistemas de cifrado de última generación
• Contraseñas fuertes, distintas para cada dispositivo

Aunque las normas de la legislación de California, como las de la regulación europea, no son del todo específicas, al menos marcan las líneas a seguir. Los fabricantes y empresas de servicios (y naturalmente la Administración) pueden exigir trabajar con productos que cumplan esos estándares. Eso sí, cualquier país y cualquier empresa puede adelantarse adoptando ya este tipo de medidas por iniciativa propia, antes de que sean obligatorias.
 

Una contraseña personalizada para cada aparato

 
De este modo los dispositivos que no se puedan actualizar (corrigiendo así defectos de fabricación o seguridad) o que ni siquiera permitan cambiar la contraseña (desde «bombillas conectadas» a cámaras) se quedarían fuera. Nos acostumbraríamos a que cada aparato viniera con su contraseña personalizada –como ya hacen los routers wifi de las operadoras– y no al clásico «admin/admin» por defecto. Las actualizaciones frecuentes y los sistemas de cifrado más modernos harían más difíciles los ataques automatizados y de redes de bots. Todo a favor de una seguridad que cada vez se está volviendo más relevante en un mundo en el que desde el termostato a la aspiradora o el automóvil están cada vez más conectados a Internet de forma casi ineludible.

{Infografía: Consejo de la Unión Europea / Reforma de la ciberseguridad en Europa}