BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Routers y dispositivos conectados tendrán que certificar que son ciberseguros para venderse en España

Joshua Llorach
Lavadora IoT SIM Vodafone

La Ley de Ciberresiliencia obligará a que en un plazo de 3 años, routers, switches, domótica y otros dispositivos puestos a la venta tengan que superar pruebas de ciberseguridad. Además, los fabricantes tendrán que publicar actualizaciones de seguridad durante su vida útil, estando obligados a reportar a la administración nuevas vulnerabilidades en las primeras 24 h. tras su descubrimiento.

La comercialización en Europa de dispositivos conectados inseguros tiene los días contados, después de que Parlamento y Consejo Europeo hayan acordado hace unos días aprobar la Ley de Ciberresiliencia propuesta por la Comisión hace más de un año. Este es el último paso antes de su aprobación formal y publicación en el DOUE, lo que hará que el reloj empiece a contar para que los dispositivos comercializados en el continente cumplan la nueva regulación.

La Ley de Ciberresiliencia1 quiere atajar la popularización en hogares y empresas de dispositivos electrónicos conectados de bajo coste que no son seguros, bien porque el software que los hace funcionar tiene un diseño deficiente o porque el fabricante se desentiende de su actualización pasado un tiempo.

El número de dispositivos conectados a internet va en aumento exponencial y esto los convierte en un objeto de deseo para actores maliciosos, que buscan explotar vulnerabilidades conocidas para hacerse con su control, con el fin de mantenerlos latentes en espera de ser usados en ataques de denegación de servicio, fuerza bruta, envío de spam y minería de criptomonedas. El ancho de banda con el que cuentan las conexiones domésticas de fibra agrava este problema al poner a su disposición un gran caudal para ser usado en los ataques.

Nuevas exigencias de seguridad para dispositivos conectados

La nueva ley obliga a los fabricantes a integrar la seguridad desde las primeras fases del diseño del producto, teniendo que pasar una vez esté finalizado un test de conformidad que le dará derecho a llevar el marcado CE.

  • Por defecto tendrán que traer una configuración segura a la que el usuario pueda volver fácilmente si hace modificaciones.
  • Deberán cifrar la información si manejan datos personales, debiendo solicitar los mínimos datos necesarios.
  • Tendrán que tener tolerancia a fallos, especialmente los causados por ataques de denegación, además de minimizar la dependencia del funcionamiento de servicios externos.
  • Las interfaces abiertas, como los puertos, tendrán que limitarse al mínimo necesario.
  • Traerán mecanismos de actualización automática y aviso al usuario de su disponibilidad.

Una vez en el mercado el fabricante será el responsable de su seguridad durante la vida útil del producto, para los cual tendrá que publicar actualizaciones de seguridad para parchear vulnerabilidades y mantener al cliente informado de los riesgos que surjan.

  • Tendrán que identificar nuevas vulnerabilidades
  • Publicar gratuitamente actualizaciones de seguridad "sin demora" una vez se conozca una vulnerabilidad
  • Se publicará información de las vulnerabilidades una vez hayan sido subsanadas

Entre los dispositivos a los que afecta la Ley de Ciberresiliencia encontramos "routers, modems destinados a la conexión a internet y switches". Los routers domésticos han sido blanco frecuente de redes de bots como Mirai, que ahora tendrán más difícil aprovechar la dejadez de algunas marcas a la hora de actualizar sus productos.

Se espera que la Ley de Ciberresiliencia entre en vigor durante la primera mitad de 2024. Las marcas tendrán entonces un periodo de 36 meses para adaptarse a la nueva normativa. Los países supervisarán y retirarán del mercado a partir de entonces aquellos productos que no cumplan.

El Gobierno conocerá las vulnerabilidades 24 h tras su descubrimiento, antes de que sean parcheadas

Aunque sobre el papel la Ley de Ciberresiliencia va a contribuir a hacer las redes más seguras, su artículo 11 introduce la obligación de que los fabricantes informen a los gobiernos de nuevas vulnerabilidades dentro de las 24 horas siguientes a su descubrimiento. Esto es incluso antes de que sean parcheadas.

Numerosas organizaciones, entre ellas Eset, Trend Micro o Google, han dado la voz de alarma en una carta abierta2, avisando de que los Gobiernos podrían hacer mal uso de esta información privilegiada, al tratarse de vulnerabilidades no parcheadas que pueden ser utilizadas por las agencias de inteligencia de los gobiernos con fines de espionaje.

  1. digital-strategy.ec.europa.eu/en/policie…silience-act
  2. assets-global.website-files.com/62715f02…20231003.pdf

💬 Comentarios

1
Ossian
2

Nada mas leer el inicio iba a responder con el final del artículo xD otro punto negativo va a ser el de los precios, que inevitablemente subirán, el de la seguridad está por ver, realmente una buena parte de esos problemas se deben a fallos humanos, tipo "svetlana quiere conocerte" o tipo "ha heredado un millón del príncipe abdul" pasando por el clásico "va, déjame las claves, que menudo coñazo…" a los de IT, etc…factor humano

Dicho esto, lo de que las lavadoras, neveras, etc…tengan wifi para que te las puedan dejar obsoletas cuando les salga del papo es un poco fail

JGeek00
4

Si ni siquiera el gobierno y las instituciones públicas son capaces de asegurar nuestra información frente a ataques como van a exigírselo a terceras empresas

🗨️ 1
NachoSH
3

Será por todos los hackeos y filtraciones que han tenido el SEPE y Hacienda… menudo país de pandereta.

Cosmonauta
-1

Otra ley que no sirve de nada.

🗨️ 2
Policia

¿Qué te ha hecho cambiar de opinión? Tenías un comentario interesante, literalmente opuesto al actual.

🗨️ 1
Cosmonauta

Pensé que sería un hilo serio, pero he visto que todo el mundo se ha puesto escribir chorradas, así que paso 🙄

rbetancor
0

Umm … si, claro, clarisimo …

  • Subirán los precios de los equipos por estar "certificados que cumplen". Además lo de tener que publicar actualizaciones de seguridad durante la vida útil también los encarecerá
  • Se reducirán la vida últil de los equipos, precisamente para minimizar lo dicho en el punto anterior.
  • Como uso y costumbre, la falsa sensación de seguridad, solo traerá consigo más problemas.
  • "Los malos" van a seguir haciendo "maldades", porque mientras no se corrija el principal problema de seguiridad que existe, que es la falta de sentido común de los usuarios. Mal vamos.

Vamos … que esto es como lo de querer forzar el "sentimiento ecológico", o cualquier otra chuminada más de nuestros bobernantes, que se empeñan en ponerle puertas al campo o empezar las casas por los tejados … claro está, siempre en pro de defender "nuestras libertades".

Ellos no saben hacer una ensalada … pero se apuntan a dar cursos de cocina 5 estrellas michelín.

🗨️ 6
["lhacc"]

A la UE lo de regular industrias que no existen en Europa se les da de lujo. Es súper fácil, porque nadie se puede quejar. (Recordando la regulación de inteligencia artificial que se aprobó hoy y que, sorpresa, los gobiernos pueden ignorar)

sergio8o
3

El estado social y democrático de derecho cuesta dinero porque nada es gratis.

Putinia tiene granjas de ciberdelincuentes por todo el mundo, y Xilandia puertas traseras en todo lo que fabrica.

De ahí, la necesidad de este reglamento europeo de ciberresilencia.

Sois unos euroescépticos.

La UE es pionera. Quien golpea primero, golpea dos veces.

Os recuerdo que California copió el Reglamento UE de protección de datos, y Silicon Valley sigue lleno de empresas.

🗨️ 4
rbetancor

Disculpa sino me hacen gracia los brindis al sol.

🗨️ 3
sergio8o
1

Entre una ley regulera y una ausencia de ley, es preferible lo primero.

Además, se crea una comisión parlamenaria y una agencia para enmiendas legales de actualización.

Para ti será pura burocracia, pero, así funciona la democracia, el menos malo de los sistema de gobernanza de las civilizaciones.

🗨️ 2
rbetancor
0

De todo lo que comentas, yo solo saco una conclusión … otro sumidero inútil mas por el que se van mis impuestos …

jdprez

No es preferible lo primero, es más casi nunca es mejor tener una legislación farragosa que luego resulta inútil en la práctica. Esto es solo necesario para mantener comisiones y cementerios de elefantes de la política.

Amenhotep
2

Si la ley la aplican a las cámaras IP, se ventilan de un plumazo todas las marcas chinas como Yi.

Yo me conformaría con que la ley se aplique a todos los CPE que sirvan para proveer servicio de telecomunicaciones en España.

holamorato
1

A tomar por culo mis detectores de puerta/ventana de 2€ de SmartLife.

Policia
1

En mi experiencia las lavadoras Movistar parecen un poco más caras pero son mucho más silenciosas, lo que se agradece a la hora de la siesta. También lavan y secan más rápido sin dejar manchas sorpresa o tener fugas.

🗨️ 2
vukits
2

calla, pecadorrrr.

qué futuro más distopico que estás pintando, jajaj

Aell6782
1

Claro, las de Movistar son fiables, lo que no quita que haya sorpresa… Guiño guiño subidita de 10€

Beneit
1

Personalmente encuentro la iniciativa muy buena, aunque hay que vigilar como se aplica.

En el sector del automóvil, si no estoy equivocado, los fabricantes darán actualizaciones de software durante la vida útil del vehículo, que algunos indican hasta 15 años, teniendo en cuenta que ahora los vehículos eléctricos no dejan de ser móviles con ruedas (móviles de teléfono, no me refiero a que se muevan, que también :-) )

🗨️ 1
PercebesBenz

Claro, vas a vigilar millones de artículos del sector. Pero venga por favor. Si quieren seguridad que paguen a profesionales cojones.

Fassou
1

Si vale para frenar en seco la tonteria de vender hasta cepillos de dientes conectados por el IoT de los coj…

Bienvenido sea

Rix

Numerosas organizaciones, entre ellas Eset, Trend Micro o Google, han dado la voz de alarma en una carta abierta2, avisando de que los Gobiernos podrían hacer mal uso de esta información privilegiada

De la misma manera de la que ya se hicieron eco sobre el famoso artículo 45 del eIDAS 2.0, del que poco o nada se ha leido en prensa española.

Jesús Díaz
1

Hola, Tp-Link. Esta marca al menos los routers los "abandona" nada mas salir. Sin embargo, en sus cosas IoT si que van recibiendo actualizaciones. Por algo tengo un Mikrotik como router principal, estos son como los iPhones, en constante actualización.

🗨️ 1
Weikis

Tp-Link archer c6 v4 recibe actualización a EasyMesh. Y salió hace bastantes años.

El ax10 1.2 que tengo que salió en 2020 recibe 3 años después EasyMesh y un par más de actualizaciones de seguridad. Los modelos que vendieron bien les da actualizaciones los que venden regulero…

makey40404
2

¿Qué se considera vida útil? ¿Hasta que la tecnología se quede objetivamente obsoleta por limitaciones técnicas o hasta que salga un nuevo modelo y al fabricante ya no le interese mantener el anterior?

🗨️ 3
Guillermoelectrico

Si el equipo depende de los servidores del fabricante, pues hasta que se aburran.

Donde estén los equipos DIY, y si no, a aprender.

🗨️ 2
Weikis

No es viable lo DIY para todo el mundo

🗨️ 1
Guillermoelectrico

Es que la domotica, no es para todo el mundo.

Los que no sepan DIY, pues a pagar, se acabó lo barato.

pjpmosteiro

Si claro, como que todos los aparatos chinorris con marcado CE han pasado la verificacion de Europa, juas.

ChrJr90

Productos certificados? A mi esto me huele a que te van a cobrar mas por una mísera etiqueta. Que se preocupen ellos de proteger sus redes de mierda que son hackeadas con facilidad al parecer. De la seguridad de mi casa y mis dispositivos ya me encargo yo.

Puede parecer una ley inútil, y lo es. Pero su propósito no es tu seguridad, el propósito es el encarecimiento de dichos artículos por llevar una pegatina. Seguramente haya toda una red de hackers interesados en hackear la lavadora de tu abuela… La realidad es que quieren mas y mas dinero, ya no saben que estupidez inventar, asi que… A ver cual es el proximo chiste del año.

Espero que se cree todo un mercado de productos "sin certificado" online. De forma oficial no, pero quizás asi de "piratilla" se puedan seguir consiguiendo esos artículos a su precio normal.

Solospam

Nada que no se resuelva con una VLAN sin acceso a internet y una VPN… ains

1