BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Routers y dispositivos conectados tendrán que certificar que son ciberseguros para venderse en España

Joshua Llorach
Lavadora IoT SIM Vodafone

La Ley de Ciberresiliencia obligará a que en un plazo de 3 años, routers, switches, domótica y otros dispositivos puestos a la venta tengan que superar pruebas de ciberseguridad. Además, los fabricantes tendrán que publicar actualizaciones de seguridad durante su vida útil, estando obligados a reportar a la administración nuevas vulnerabilidades en las primeras 24 h. tras su descubrimiento.

La comercialización en Europa de dispositivos conectados inseguros tiene los días contados, después de que Parlamento y Consejo Europeo hayan acordado hace unos días aprobar la Ley de Ciberresiliencia propuesta por la Comisión hace más de un año. Este es el último paso antes de su aprobación formal y publicación en el DOUE, lo que hará que el reloj empiece a contar para que los dispositivos comercializados en el continente cumplan la nueva regulación.

La Ley de Ciberresiliencia1 quiere atajar la popularización en hogares y empresas de dispositivos electrónicos conectados de bajo coste que no son seguros, bien porque el software que los hace funcionar tiene un diseño deficiente o porque el fabricante se desentiende de su actualización pasado un tiempo.

El número de dispositivos conectados a internet va en aumento exponencial y esto los convierte en un objeto de deseo para actores maliciosos, que buscan explotar vulnerabilidades conocidas para hacerse con su control, con el fin de mantenerlos latentes en espera de ser usados en ataques de denegación de servicio, fuerza bruta, envío de spam y minería de criptomonedas. El ancho de banda con el que cuentan las conexiones domésticas de fibra agrava este problema al poner a su disposición un gran caudal para ser usado en los ataques.

Nuevas exigencias de seguridad para dispositivos conectados

La nueva ley obliga a los fabricantes a integrar la seguridad desde las primeras fases del diseño del producto, teniendo que pasar una vez esté finalizado un test de conformidad que le dará derecho a llevar el marcado CE.

  • Por defecto tendrán que traer una configuración segura a la que el usuario pueda volver fácilmente si hace modificaciones.
  • Deberán cifrar la información si manejan datos personales, debiendo solicitar los mínimos datos necesarios.
  • Tendrán que tener tolerancia a fallos, especialmente los causados por ataques de denegación, además de minimizar la dependencia del funcionamiento de servicios externos.
  • Las interfaces abiertas, como los puertos, tendrán que limitarse al mínimo necesario.
  • Traerán mecanismos de actualización automática y aviso al usuario de su disponibilidad.

Una vez en el mercado el fabricante será el responsable de su seguridad durante la vida útil del producto, para los cual tendrá que publicar actualizaciones de seguridad para parchear vulnerabilidades y mantener al cliente informado de los riesgos que surjan.

  • Tendrán que identificar nuevas vulnerabilidades
  • Publicar gratuitamente actualizaciones de seguridad "sin demora" una vez se conozca una vulnerabilidad
  • Se publicará información de las vulnerabilidades una vez hayan sido subsanadas

Entre los dispositivos a los que afecta la Ley de Ciberresiliencia encontramos "routers, modems destinados a la conexión a internet y switches". Los routers domésticos han sido blanco frecuente de redes de bots como Mirai, que ahora tendrán más difícil aprovechar la dejadez de algunas marcas a la hora de actualizar sus productos.

Se espera que la Ley de Ciberresiliencia entre en vigor durante la primera mitad de 2024. Las marcas tendrán entonces un periodo de 36 meses para adaptarse a la nueva normativa. Los países supervisarán y retirarán del mercado a partir de entonces aquellos productos que no cumplan.

El Gobierno conocerá las vulnerabilidades 24 h tras su descubrimiento, antes de que sean parcheadas

Aunque sobre el papel la Ley de Ciberresiliencia va a contribuir a hacer las redes más seguras, su artículo 11 introduce la obligación de que los fabricantes informen a los gobiernos de nuevas vulnerabilidades dentro de las 24 horas siguientes a su descubrimiento. Esto es incluso antes de que sean parcheadas.

Numerosas organizaciones, entre ellas Eset, Trend Micro o Google, han dado la voz de alarma en una carta abierta2, avisando de que los Gobiernos podrían hacer mal uso de esta información privilegiada, al tratarse de vulnerabilidades no parcheadas que pueden ser utilizadas por las agencias de inteligencia de los gobiernos con fines de espionaje.

  1. digital-strategy.ec.europa.eu/en/policie…silience-act
  2. assets-global.website-files.com/62715f02…20231003.pdf

Actualizado