Si la seguridad en los dispositivos de Internet de las Cosas (IoT) es una de las grandes preocupaciones tecnológicas, ¿qué medidas podemos tomar para solucionarlo?
En Gran Bretaña, el gobierno acaba de publicar detalles sobre su respuesta poco elegante: una pegatina.
Llamada “Secure by Design” (Seguro por Diseño) desde que surgió en 2018, esta no será una simple pegatina que queda bien tener. Con el tiempo podría llegar a ser un requisito legal a mostrar en cualquier dispositivo IoT, como televisores, cámaras de video de seguridad domésticas, juguetes o electrodomésticos.
Por ahora, la parte legal sigue siendo una aspiración que deberá ser debatida, pero parece que puede que sea aceptada pronto, posiblemente el próximo año.
En vez de verse atrapada en una maraña de complejos conceptos de seguridad, “Secure by Design” inteligentemente se centra en tres problemas fundamentales que atañen a la seguridad de esos dispositivos:
“Las contraseñas de los dispositivos IoT deben ser únicas y no se pueden restablecer a una universal por defecto de fábrica”.
La industria ha mejorado en este punto durante los últimos años (por ejemplo muchos routers ahora tienen credenciales únicas) pero muchos artilugios IoT todavía ignoran por completo este punto básico.
“Los fabricantes de productos IoT deben proveer un punto de contacto público como parte de su política de revelación de vulnerabilidades”.
Una sugerencia simple y radical: si fabricas algo siempre debería existir una forma de que los expertos te informen si algo va mal y necesita arreglarse. Hay muchas anécdotas de como los fabricantes se olvidan completamente de este asunto.
“Los fabricantes deben mostrar explícitamente el periodo de tiempo mínimo durante el que el dispositivo recibirá actualizaciones de seguridad y una política de obsolescencia”.
Aquí es donde se ponen las cosas feas para los fabricantes. Los dos primeros puntos suponen un cambio de cultura pero no cuestan mucho dinero. Este último puede ser un escollo.
Las grandes marcas como Google, Apple y Microsoft ya ofrecen una indicación clara sobre el tiempo de vida de sus productos, pero son la excepción a la regla. Para la mayoría de los fabricantes, la idea de definir una duración de vida durante la que están obligados legalmente a actualizar el producto es un anatema porque añade costes de mantenimiento que van contra su modelo de inversión.
“Secure by Design”, tal como está concebido, no dice al fabricante cuanto tiempo debe ser la vida de un producto, simplemente que deben mostrar sus expectativas.
Buena suerte para quien sea capaz de crear un método infalible de ponerlo en práctica. El peligro está en que los fabricantes ideen un astuto plan para minusvalorar su importancia o esconder esa información en la letra pequeña.
¿Una pérdida de tiempo?
La idea de que el gobierno imponga un estándar de seguridad nacional en un producto es todavía una quimera en una industria basada en la inversión fácil, proceso de comercialización, y prácticamente ninguna regulación salvo la seguridad eléctrica.
Y, sin embargo, los estándares de seguridad que surgen en el momento idóneo tienen el hábito de convertirse en un requisito, un buen ejemplo es la forma en que las estrictas regulaciones de seguridad de un país pequeño como Singapur han influido en los estándares de cumplimiento más allá de sus fronteras.
Una vez que se ha establecido un estándar más alto, los fabricantes más grandes con economías de escala a menudo lo aceptan y lo tratan como una guía útil. El hecho de que el gobierno del Reino Unido diga que escuchado a Amazon, Philips, Panasonic, Samsung, Miele, Yale y Legrand para desarrollar “Secure by Design” es alentador.
Ya veremos si el código de “Secure by Design” se diluye o termina siendo opcional. Pero los cínicos no deberían asumir que lo hará.
Algunos argumentarán que si los gobiernos hubieran establecido estrictas regulaciones de seguridad antes de que se inventara los IoT, los inversores no habrían invertido.
Por otra parte, si eso hubiera ocurrido, tampoco habría ningún problema de seguridad de IoT de qué preocuparse. Recordemos un viejo dicho: si crees que la seguridad es cara, intenta vivir en un mundo sin ninguna.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario