BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Europa obligará a que routers y dispositivos IoT conectados sean seguros en la futura Ley de Resiliencia Cibernética

Josh
Lavadora Vodafone

La Comisión Europea prepara una norma para protegerse frente a la amenaza creciente que supone para la ciberseguridad la proliferación de dispositivos conectados en el hogar, como electrodomésticos, juguetes y domótica, obligando a cerrar puertos no necesarios y usar credenciales robustos.

Proliferación de objetos conectados con seguridad deficiente

IoT (Internet Of Things) es un fenómeno en plena ebullición donde hasta los elementos más sencillos y aparentemente inofensivos, como un juguete, son capaces de conectarse por wifi a internet. Bombillas domóticas, termostatos, videoporteros, cámaras, vigilabebes, robot aspiradores, juguetes inteligentes, routers y un sinfín de dispositivos se conectan a la red para recibir instrucciones desde la nube del fabricante y poder ser controlados remotamente, como desde una app en el móvil.

En muchos casos se trata de productos de bajo coste en los que se ha invertido muy pocos recursos en el desarrollo del software que los hace funcionar, por lo que es frecuente que su seguridad sea muy deficiente y cuenten con vulnerabilidades que nunca se parchean.

Este tipo de dispositivos son el objetivo de los cada vez más habituales ciberataques en los que en una primera fase se aprovecha alguna vulnerabilidad conocida o el uso de los credenciales por defecto para hacerse con el control remoto del dispositivo. Sin que su propietario se dé cuenta, el dispositivo permanece entonces en reposo esperando órdenes del atacante, pasando a formar parte de un enjambre de nodos haciendo peticiones masivas contra un objetivo, por ejemplo dentro de un ataque de denegación distribuido (DDoS).

Nueva Ley Europea de Ciberresiliencia

Europa quiere poner freno a los bajos estándares de calidad del software que gobierna los dispositivos IoT de bajo coste dentro de la Ley Europea de Ciberresiliencia1 prevista para el último trimestre del año.

La nueva regulación obligará a los fabricantes a pasar test de conformidad relacionados con la ciberseguridad para poder lucir el marcado CE que permite que sean comercializados en Europa. Estas pruebas confirmarán que el dispositivo cumple con una serie de medidas de seguridad, como el uso de credenciales robustos y el cierre de puertos no necesarios para el funcionamiento. La seguridad del dispositivo tendrá que garantizarse además durante todo su ciclo de vida, lo que obligará al fabricante a seguir lanzando actualizaciones de seguridad a medida que se descubran nuevas vulnerabilidades.

Los requisitos dependerán de la categoría del producto. En un estudio reciente2 encargado por la Comisión Europea se identifican 5 categorías. Una de ellas es Smart Home, donde se incluyen los routers domésticos que instalan las operadoras para proporcionar el servicio de acceso a internet.

Exigencias de seguridad para los routers domésticos

Domotica Xiaomi

Los routers son frecuentemente objetivo de malware. A finales de 2016, casi un millón de routers de la operadora alemana Deutsche Telekom fabricados por Arcadyan se quedaron fuera de servicio durante un intento fallido de instalar en ellos una variante de la botnet Mirai.

El estudio de la Comisión Europea cita como ejemplo las normas que a raíz de este incidente Alemania exige a los fabricantes de routers que se comercializan en el país y que podrían adaptarse para ser aplicadas a nivel europeo.

Según el documento Requerimientos para routers de banda ancha seguros3, el router solo debe traer activados por defecto un conjunto de servicios básicos accesibles desde la red local, como DNS, HTTP/S y DHCP e ICMP, mientras que en la parte WAN accesible desde internet solo deben estar activos los puertos necesarios para TR-069 utilizado para la configuración remota por parte de la operadora, ICMP y VoIP en el caso de que tenga teléfono fijo.

  • La administración del router, solo accesible desde la red local, debe protegerse con HTTPS mediante una contraseña única y robusta de al menos 8 caracteres que no puede estar derivada del hardware del router, como el modelo o la dirección MAC, además de traer un mecanismo contra ataques de fuerza bruta.
  • La red de invitados debe venir desactivada por defecto. Desde esta red no debe poder accederse a la configuración del router ni a otros equipos de la red local.
  • El nombre de la red wifi no debe revelar el modelo de router y debe poder ocultarse.
  • El cifrado wifi debe traer activo por defecto al menos WPA2 con una contraseña mínima de 20 caracteres.

Otras exigencias son traer un mecanismo para la actualización automática del firmware del equipo y la obligación de publicar nuevas versiones de forma diligente cuando se conozcan vulnerabilidades.

  1. Encuesta pública de la Comisión Europea sobre la Ley Europea de Ciberresiliencia
  2. Study on the need of cybersecurity requirements for ICT products
  3. BSI TR-03148 Secure Broadband Routers
vukits
2

mi nuevo lavavajillas Miele ,tiene funcionalidad de WIfi y conexión de Nube, y actualización remota de firmware.

Ha sido leer manual, reirme un rato, y luego desactivar dicha función .

🗨️ 3
tipodeincognito
1

yo realmente no se para que pe***** hay que actualizar el firmware de un aparato con funciones predefinidas xD

🗨️ 2
HaMeR2
4

Para que puedan decidir cuando debes comprar uno nuevo.

🗨️ 1
fatman

Qué buena respuesta. También hay apps sencillas que esconden funciones espurias. Por qué no iba a pasar algo similar con esto. Lo veo fenomenal.

lhacc
1

Ya mismo va a haber una directiva hasta para medirnos el ancho del ojete.

cajiessa

Cuando he leído el título parecía que iba a ser un brindis al sol y realmente todo lo que se comenta son cosas que no se entiende que sean ya un mínimo en la industria. La actualización de equipos durante toda su vida útil habrá que ver cómo está definido. Al final todo esto servirá para poco cuando en las casas hay más cacharros de domótica de Aliexpress que de cualquier otro.

rbetancor

Salvo que la directiva, indique "cual es la vida útil" según la categoría de dispositivos … estamos en las mismas … porque según los fabricantes de SmartPhones, la vida útil es 6 meses, que es lo que suelen tardar en sacar un modelo nuevo y dejar de lado las actualizaciones del actual. Y en cuestiones de "SmartHomes", he visto fabricantes hacer un EOL de series completas de dispositivos cuando apenas llevaban un año en el mercado.

🗨️ 10
lhacc

Hay muchos fabricantes de móviles y hay algunos que se diferencian precisamente por disfrutar de muchos años de actualizaciones.

El mercado es libre y cada cual compra el móvil que quiere. Se vota con la cartera. Pero los trajeados de la UE lo de "mercado libre" no lo entienden.

🗨️ 9
PercebesBenz

Ya, y a quién votas. Tienes fairphone y después… quién? Eso por no hablar del desastre que es Android, y de iOS no digo nada porque ahí no hay nada que rascar.

Jolla, que ni siquiera vende hardware? Para eso te pones LineageOS (si puedes).

Los vendors de hardware no tienen ningún incentivo para liberar drivers, y Linux es un dolor de cabeza con la integración de blobs binarios y el kernel. De hecho si no recuerdo mal todo el bloat en LOCs del Kernel son casi todo drivers.

La solución "de mercado" al problema de los drivers es Fuchsia, pero sigue siendo un SO completamente dominado por una empresa.

No sé, a mí me parece que el "estado de las cosas" en el ámbto de móviles es un desastre.

🗨️ 8
lhacc

Es un "desastre" porque a la aplastante mayoría de consumidores ese tema se la sopla. No veo el problema.

Pretur
1

Samsung en todos los S y algunos A garantiza tres años de actualizaciones del sistema operativo (por ejemplo el A52 salió con Andoid 11, ya tiene el 12 y tendrá el 13 cuando salga) y como mínimo 4 de parches de seguridad.

🗨️ 5
PercebesBenz
1

Tres años es nada.

🗨️ 1
Pretur
yomimmo

7 años va a cumplir mi Apple 6s y hasta ahora se siguen sacando nuevas versiones de iOS para este modelo, evidentemente algun dia cesaran

🗨️ 2
Pretur
🗨️ 1
tipodeincognito

Hombre, con Qualcomm aún se puede rascar algo, gracias a Code Aurora Forum (CAF que se ve en muchas rom, básicamente de donde maman muchas custom aunque no incluyan el CAF), lo malo es mediatek; de Fuchsia OS hace la hostia que no escucho nada.

Amenhotep

Hace más de 20 años que hay routers de banda ancha en Europa y se van a legislar en "el futuro". Pues muy bien. Sin prisas.

Que envidia de la FCC americana.

Metro Copito
1

Este tipo de medidas son necesarias porque un alto porcentaje de usuarios domésticos tan solo entienden de encender/apagar. Están en su derecho y me parece genial que por defecto queden "blindados".

Pero eso sí, estaría muy bien que no nos impongan restricciones a los más "aventureros". Lo de las actualizaciones automáticas obligatorias por ejemplo, es algo que detesto. Tampoco voy a usar contraseñas "kilométricas" en mi wifi, más que nada porque si hace falta lo abro y lo comparto gustosamente.

electronics

Resiliencia, la palabra de moda de la progresía.

Es leerla y ya imaginarme lo peor. Debe ser que ya se les ha gastado la coletilla de "tomamos estas medidas por su seguridad".

Toda medida injustificable y que tiene que ser excusada bajo las palabras seguridad, ecología, resiliencia o "igualdad", empieza a desconfiar porque seguramente va asociado a un recorte de libertades.

🗨️ 2
lhacc

Y a una subida de precios.

🗨️ 1
electronics

Cierto también.

PercebesBenz
2

Yo me daba con un canto en los dientes si se dejasen de vender basura "smart". Es una fuente de problemas innecesaria.

Netmejias

Con los firmwares que salieron de fábrica en 2010