Connectivity Standards Alliance, creadores de los estándares de domótica Zigbee y Matter, anuncian IoT Device Security Specification 1.0, un conjunto de buenas prácticas que los fabricantes de dispositivos domóticos podrán adoptar para garantizar que se cumple la nueva Ley de Ciberresilencia Europea que entrará en vigor en 2027.
Matter está llamado a ser el estándar universal que permite que electrodomésticos, luces, interruptores y todo tipo de dispositivos de distintos fabricantes se integren en el sistema domótico de un hogar. Aunque se encuentra todavía en una fase temprana de su introducción, la organización encargada de su desarrollo, Connectivity Standards Alliance, cuenta con el respaldo de Google, Amazon y Apple, lo que garantiza que cada vez veremos su logotipo en más sitios. Matter además ha llegado en plena eclosión del internet de las cosas, donde cada vez más electrodomésticos traen conectividad, ofreciendo la posibilidad de compartir información de su estado y recibir órdenes remotas.
Conectar a la red un equipo siempre supone un riesgo, pues lo expone a que actores maliciosos puedan aprovechar vulnerabilidades actuales o futuras para obtener acceso remoto y utilizarlo para otros fines. La falta de soporte de un fabricante o el abandono de las actualizaciones de un producto es un riesgo, no solo para el propietario del dispositivo, que puede ver comprometida su privacidad, sino para toda la red, que puede ser víctima de ataques distribuidos originados en dispositivos zombies.
Europa quiere controlar este riesgo a través de la Ley de Ciberresilencia, que se espera entre en vigor en 2027, obligando a que los dispositivos conectados a internet hayan superado una batería de pruebas que certifique que traen una configuración segura y a que sus fabricantes vigilen, informen y se comprometan a publicar actualizaciones de seguridad.
Sello Verified Product Security
Para cumplir con estas exigencias y la de leyes similares que preparan otras regiones, desde Connectivity Standards Alliance anuncian1 una nueva certificación de seguridad que deberán pasar los dispositivos para poder decir que son seguros. Es cierto que llevar el sello y el QR de Matter ya garantiza que el dispositivo ha pasado pruebas para demostrar que se ajusta al estándar, que fue diseñado con la seguridad en mente. Por ejemplo, Matter requiere que la comunicación con llamadas json esté cifrada, de forma que un dispositivo no pueda ser suplantado, pero esto sirve de poco si el fabricante no sigue otras buenas prácticas como parchear las vulnerabilidades que se descubren en su equipo.
La marca Verified Product Security que lucirán en su carcasa los dispositivos que hayan pasado la nueva certificación, demostrará que cumple con las exigencias de la especificación, como:
- Identidad única para cada dispositivo IoT
- Sin contraseñas predeterminadas codificadas
- Almacenamiento seguro de datos confidenciales en el dispositivo
- Comunicaciones seguras de información relevante para la seguridad
- Actualizaciones de software seguras durante todo el período de soporte
- Proceso de desarrollo seguro, incluida la gestión de vulnerabilidades
- Documentación pública sobre seguridad, incluido el período de soporte
200 compañías respaldan el lanzamiento de Verified Product Security, comprometiéndose a llevar esta marca a sus dispositivos. Entre ellas encontramos a Amazon, Google, por lo que no tardaremos en verlo sobre cámaras de seguridad, interfonos, termostatos, alarmas y otros dispositivos comercializados por sus marcas de domótica.
