El panorama de la ciberseguridad IoT en 2024
En 2022, la IoT se enfrentó a más de 112 millones de ciberataques, un salto desde los 32 millones de 2018. El rápido crecimiento de las tecnologías IoT va acompañado de ciberamenazas. Como resultado, los países y las regiones están introduciendo regulaciones específicas para proporcionar ciberseguridad IoT para dispositivos y datos valiosos. Profundicemos en algunos de los ejemplos, incluidos los de la UE, Estados Unidos, Reino Unido y Singapur, cómo afectan a las empresas y los consumidores, y cuál es la relación de las actualizaciones de software de firmware dentro de la seguridad de los proyectos IoT.
La Unión Europea y la normativa sobre la IoT
El Reglamento general de protección de datos (GDPR)
El GDPR se introdujo el 25 de mayo de 2018. Proporciona una norma específica para la seguridad de los datos en la Unión Europea y Gran Bretaña, centrándose en la privacidad de los datos. GDPR ordena que las organizaciones aseguren los datos personales recopilados por los dispositivos IoT, implementen la privacidad por diseño y garanticen los derechos de los sujetos de datos. Han traído sanciones estrictas por la falta de cumplimiento como modelo de muchos objetivos de protección en todo el mundo.
La Ley de Ciberseguridad
La Ley de Ciberseguridad, que se implementó el 27 de junio de 2019, ofrece un marco para certificar la ciberseguridad de los productos y servicios TIC en la Unión Europea. La ley pretende reducir los riesgos de ciberataques dirigidos a IoT proporcionando estándares de seguridad más altos y transparencia sobre los niveles de seguridad de los productos certificados. La Agencia de Ciberseguridad de la UE (ENISA) contribuye en gran medida a la protección de la ciberseguridad de la IO, ofreciendo recursos y apoyo a los Estados miembros y las empresas.
La Ley de Ciberresiliencia
Crear normas coherentes en toda la UE para la venta de dispositivos con componentes digitales.
Establecer requisitos obligatorios de ciberseguridad para los fabricantes y minoristas de IoT.
Exigir a los fabricantes que den prioridad a la seguridad en todo el proceso de diseño y producción.
La Directiva NIS y NIS2
La Directiva NIS original pretendía alcanzar un alto nivel de ciberseguridad para las infraestructuras críticas y los servicios esenciales. La Directiva NIS2, en vigor desde enero de 2023, amplía el ámbito de aplicación para incluir más sectores y entidades, armonizando las medidas de ciberseguridad en todos los Estados miembros. Esto se consigue a través de varias medidas clave:
Las regiones de la UE deben crear recursos específicos de ciberseguridad, como un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente.
Los Grupos de Cooperación fomentan el intercambio de información y la cooperación estratégica entre los Estados miembros.
La directiva se dirige a sectores críticos, como la electricidad, el transporte y la logística, que dependen mucho de las tecnologías de la información y la comunicación (TIC). Los proveedores de servicios de estos sectores deben aplicar medidas de seguridad específicas e informar de los problemas a las autoridades nacionales. Además, los proveedores de servicios digitales, como los motores de búsqueda y los servicios en la nube, también tendrán que cumplir los requisitos de seguridad y notificación de la directiva.
Estados Unidos y la seguridad del IoT
La Ley de Mejora de la Ciberseguridad IoT de 2020
Convertida en ley el 4 de diciembre de 2020, esta ley exige que los dispositivos IoT adquiridos por el gobierno federal cumplan con los estándares mínimos de ciberseguridad establecidos por el Instituto Nacional de Estándares y Tecnología (NIST). Estas normas incluyen las publicaciones especiales 800-53 del NIST, destinadas al control de los sistemas de información, incluido el control de acceso, la respuesta a incidentes y la protección del sistema, y 800-183, que se centran en consideraciones de seguridad y privacidad para los dispositivos IoT. La ley especifica que los dispositivos IoT deben tener identificadores únicos y autenticación robusta (Gestión de Identidad), cifrado fuerte para datos en reposo y en tránsito (Protección de Datos), procedimientos para actualizaciones oportunas y seguras (Gestión de Parches), y configuraciones seguras (Gestión de Configuración).
Decreto 14028
La Orden ejecutiva 14028 pretende ayudar tanto al Gobierno estadounidense como al sector privado a mejorar la seguridad frente a las ciberamenazas. El marco establecido aclara cómo mejorar la ciberseguridad IoT en Estados Unidos y ofrece soluciones. Por ejemplo, la OE 14028 exige a las organizaciones que establezcan tres medidas, como escanear el código de las aplicaciones, crear una lista de materiales de software (SBOM) y proteger el proceso de desarrollo.
Ley de Seguridad IoT de California (SB-327)
En vigor desde el 1 de enero de 2020, la ley exige a los fabricantes de dispositivos IoT que habiliten características de seguridad razonables y adecuadas a la función del dispositivo y a los datos recopilados y transferidos; está diseñada para proteger los datos y el hardware de cualquier tipo de acceso, destrucción o divulgación no autorizados. La SB-327 describe los dispositivos IoT como cualquier objeto capaz de conectarse a Internet, incluidos dispositivos domésticos como termostatos inteligentes y wearables. Los fabricantes que venden en California deben cumplir las disposiciones de la ley, garantizando que los dispositivos cumplen las normas de seguridad. El incumplimiento puede dar lugar a medidas coercitivas por parte del Fiscal General de California o los fiscales de distrito locales.
Leyes estatales de privacidad
Varios estados, como California y Nueva York, han introducido sus propias leyes de privacidad de datos. La Ley de Privacidad de los Consumidores de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) potencian los derechos de privacidad y seguridad de los consumidores al otorgar derechos de conocimiento, eliminación y exclusión voluntaria de la recopilación de datos, e introducir seguridad para los datos sensibles. La Ley SHIELD de Nueva York implica programas de ciberseguridad de IoT para las empresas que se ocupan de los datos de los residentes de Nueva York.
Reino Unido: Adaptación a las normas mundiales
La Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI)
El Reino Unido ha introducido recientemente la PSTI con nuevos requisitos de seguridad de productos para dispositivos conectados, incluidos dispositivos IoT como altavoces inteligentes, dispositivos conectados y determinados productos para el funcionamiento de ordenadores, así como proporciona actualizaciones sobre el régimen de infraestructura de telecomunicaciones del Reino Unido. La ley contiene dos partes principales: 1) para dispositivos conectados y 2) enmiendas al código de comunicaciones electrónicas del Reino Unido. Según la ley, los fabricantes de dispositivos IoT deben proporcionar información clara sobre los periodos de asistencia, garantizando que los consumidores estén informados sobre la duración de las actualizaciones de seguridad y la asistencia técnica para sus dispositivos. Además, la Ley PSTI exige a los fabricantes que apliquen procedimientos sólidos para notificar problemas de seguridad, facilitar respuestas rápidas a las vulnerabilidades y mejorar el ecosistema general de ciberseguridad IoT.
Singapur y la seguridad del IoT en Asia-Pacífico
Plan de etiquetado de ciberseguridad (CLS)
La Agencia de Seguridad Cibernética de Singapur (CSA) ha introducido el Plan de Etiquetado de Ciberseguridad (CLS) para los dispositivos conectados de los consumidores, con el fin de mejorar las prácticas de protección de la IO. Este esquema implica lo siguiente: los dispositivos inteligentes se clasifican según tus niveles de ciberseguridad, lo que muestra a los consumidores los productos con mejor o peor seguridad antes de que los elijan. Además, CLS ayuda a los fabricantes a destacar en la competencia y a desarrollar dispositivos y soluciones mejor protegidos. CLS incluye los siguientes acuerdos de reconocimiento mutuo
Finlandia. Un Memorándum de Entendimiento (MoU) permite el reconocimiento mutuo de etiquetas de ciberseguridad entre Singapur y Finlandia, facilitando el cumplimiento y el acceso al mercado.
Alemania. Un Acuerdo de Reconocimiento Mutuo (ARM) con Alemania garantiza que los dispositivos certificados con la etiqueta de seguridad informática alemana sean reconocidos con la CLS de Singapur, lo que favorece la agilización de los procesos de certificación.
Requisitos reglamentarios para las actualizaciones de software
Obviamente, los requisitos específicos difieren de una región a otra. Sin embargo, también hay aspectos técnicos comunes a muchos actos de ciberseguridad. Repasemos los que se aplican a la mayoría de ellas:
Codificación segura. El saneamiento de la memoria, la validación de entradas y las bibliotecas seguras pueden ser ejemplos llamativos de estas prácticas.
Requisitos criptográficos. Las leyes y los proyectos de ley suelen exigir algoritmos criptográficos, ya que se trata de una de las principales direcciones dentro de la encriptación de datos y el tratamiento de las amenazas en evolución.
Protocolos de actualizaciones seguras. Los protocolos HTTPS y TLS para la entrega de actualizaciones se especifican en muchas normativas. Esto incluye actualizaciones Over-the-Air (OTA) para actualizaciones seguras de firmware y software para dispositivos IoT.
Firma digital. La firma criptográfica de actualizaciones será probablemente un requisito en muchas regiones para garantizar la autenticidad y evitar el acceso no autorizado durante la transferencia de datos.
Arranca de manera seguroa y protección antirretroceso. Algunas normativas podrían exigir estas características para evitar la instalación de firmware malicioso o la manipulación de las actualizaciones.
Obtén información más detallada sobre las actualizaciones de IoT y los principales actores.
El papel de las actualizaciones vía satélite (OTA) en la ciberseguridad
Las actualizaciones Over-the-Air (OTA) contribuyen a mantener la ciberseguridad en un panorama normativo en constante evolución. Estas actualizaciones se ocupan de vulnerabilidades, errores y, a menudo, implican una mejora del rendimiento. He aquí cómo las actualizaciones OTA aportan seguridad:
Corrección de vulnerabilidades. Las actualizaciones OTA aportan cambios en el código que abordan vulnerabilidades identificadas, mitigando el riesgo de explotación por parte de agentes malintencionados.
Actualizaciones de criptografía. Las actualizaciones pueden introducir nuevos algoritmos de cifrado o corrección de los puntos débiles existentes, reforzando los mecanismos de protección de datos.
Corrección de errores. Las actualizaciones OTA pueden resolver errores de software que hacen que el sistema sea más vulnerable e inestable.
Las normativas de ciberseguridad animan a los fabricantes a utilizar métodos eficientes y seguros para las actualizaciones, lo que les motiva a priorizar las actualizaciones OTA como aspecto fundamental de su enfoque de ciberseguridad IoT. Esto garantiza que los usuarios reciban los parches de seguridad más recientes. Obtén más información sobre las actualizaciones OTA en nuestra Base de conocimientos.
Relación entre las actualizaciones de la OTA y la normativa: El ejemplo de Mendor
Muchas empresas como Mender pueden ayudar a los proveedores de IoT a crear ecosistemas resistentes que protejan a los usuarios, ahorren recursos y controlen los proyectos de IoT en tiempo real. Veamos en detalle cómo funcionan las actualizaciones OTA de Mender dentro de las normativas clave:
Reglamento | Requisitos clave | Cómo se dirige el remitente |
Ley de Ciberresiliencia (CRA)
| Actualizaciones de seguridad obligatorias Prioridad a la seguridad en todo el ciclo de vida | Actualizaciones seguras con HTTPS, TLS y firma digital Arranque seguro y control de acceso basado en funciones (RBAC) |
Directiva NIS/NIS2
| Medidas de seguridad sólidas para infraestructuras críticas Medidas de seguridad armonizadas en todos los Estados miembros Divulgación oportuna de vulnerabilidades | Actualizaciones seguras, arranque seguro, RBAC Consola de gestión centralizada para dispositivos dispersos geográficamente Despliegue de parches racionalizado con campañas automatizadas |
Ley PSTI del Reino Unido
| Mecanismos de actualización seguros Información clara sobre los periodos de asistencia | Actualizaciones seguras con HTTPS, TLS y firma digital Despliegue de parches optimizado |
Ley de seguridad IoT de California (SB-327) | Prácticas de seguridad normalizadas | Aplicación de prácticas de codificación seguras durante todo el ciclo de vida de las actualizaciones |
GDPR | Control del usuario sobre los datos | Herramientas de transparencia para comunicar la información de las actualizaciones |
La IoT y la ciberseguridad son inseparables. El creciente número de actos de ciberseguridad refleja un compromiso global con el desarrollo de software seguro y las prácticas de actualización. Implementando las salvaguardas técnicas necesarias, los fabricantes no solo pueden lograr el cumplimiento, sino también demostrar su compromiso con la creación de confianza con sus usuarios en el mundo interconectado.