De acuerdo a un artículo reciente publicado por BBC, la Ministra Digital Margot James propuso una legislación para introducir un nuevo sistema de categorización que permita a los clientes informarse qué tan seguro es un dispositivo IoT.
Para acceder a una de esas categorías, un dispositivo IoT necesitará:
- Contar con una contraseña única por defecto,
- Indicar claramente por cuánto tiempo estarán disponibles las actualizaciones de seguridad,
- Ofrecer un punto de contacto público para el reporte de vulnerabilidades
La iniciativa, que forma parte de la intención de Reino Unido de convertirse en líder global en seguridad online, sigue los pasos de la legislación que se lanzó en California y que entrará en efecto en 2020, la cual prohíbe que los dispositivos conectados a Internet vengan con contraseñas débiles por defecto. Tanto la propuesta de Reino Unido como la actual legislación de California representan pasos hacia la dirección correcta, o al menos obligará a que los fabricantes consideren la fase de seguridad por diseño al momento de desarrollar productos de la Internet de las Cosas. Pero, ¿es una legislación la respuesta?
Hagamos una pausa para considerar qué es lo que realmente se entiende aquí por dispositivos IoT. De acuerdo a la Ley de California, un dispositivo conectado “significa cualquier dispositivo u objeto físico que sea capaz de conectarse a Internet, ya sea de manera directa o indirecta, y que es asignado a una dirección de Protocolo de Internet o una dirección Bluetooth”. Esta definición contempla una amplia variedad de dispositivos, que van desde autos, bombillas, computadoras portátiles, termostatos hasta teléfonos celulares; y una interminable lista de objetos más.
En mi escritorio tengo un altavoz Bluetooth. No tiene contraseña, no recolecta datos, y tampoco transmite nada; al menos hasta donde yo sé. ¿Este dispositivo está contemplado por la legislación de California? ¿Necesitará una contraseña única?
De la misma manera, ¿una persona interesada en comprar un auto Tesla en Reino Unido deberá esperar a ver un sello en ese auto que indique que cumple con los requisitos que indica la legislación de seguridad para IoT? ¿o acaso cada dispositivo incluido en el Tesla que se comunique de manera independiente debería tener un sello?
Tan inseguro
La necesidad de que las condiciones de seguridad estén presentes es algo que está fuera de discusión. Y la realidad indica que varios fabricantes de dispositivos IoT han fallado al momento de tomar las medidas razonables para hacer que sus dispositivos sean seguros. Precisamente esto es lo que ha llevado a los políticos a tener que actuar. En Reino Unido esto comenzó con un código de práctica voluntario y es consecuencia de esto que se haya avanzado hasta una legislación.
Pero como regla general, las legislaciones ahogan las innovaciones. La industria de la tecnología ya está alejándose de las contraseñas. Bret Arsenault, Director de Seguridad de la Información de Microsoft, anunció que el 90% de los empleados de Microsoft pueden ingresar a la red corporativa sin necesidad de contraseña, ya que la compañía prevé un “mundo sin contraseñas”. Sus empleados están utilizando otras opciones, incluyendo Windows Hello y la app de autenticación (Authenticator), que ofrece alternativas como reconocimiento facial, huella digital, y doble factor de autenticación.
Una legislación que no estará efectiva hasta el próximo año o que aún consiste en una propuesta es propensa a estar desactualizada al momento de entrar en vigencia. Obligará a los fabricantes de dispositivos a utilizar la tecnología que una industria está intentando abandonar en busca de opciones más seguras.
En un análisis reciente de datos que han sido expuestos en brechas de seguridad, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido encontró que 23.2 millones de cuentas de usuarios en todo el mundo estaban protegidas con la contraseña “123456”, y 7.7 millones utilizaron “123456789” como contraseña. Estos datos demuestran la falta de compromiso de gran parte de los consumidores a la hora de asegurar sus cuentas en Internet, lo cual no hace más que crear oportunidades para los ciberdelincuentes.
Recientemente realicé charlas en eventos de ciberseguridad, tanto en Argentina como en EE. UU, en las que hablé sobre la necesidad de considerar la seguridad a la hora de conectar cualquier dispositivo a una red, específicamente en edificios inteligentes. Y una pregunta que realicé a la audiencia tuvo el mismo resultado en ambos lugares: "¿cuándo actualizó por última vez el sistema de información y entretenimiento en su automóvil?". El público se quedó perplejo. Son expertos en ciberseguridad y, sin embargo, conectan un dispositivo muy personal como es su teléfono a un sistema que nunca actualizan. Sorprendentemente, un asistente se conectó conmigo el día siguiente y dijo que ni él ni el distribuidor podían actualizar su sistema a pesar de estar desactualizado.
Proyéctese unos años hacia adelante e imagine que obtiene el nuevo y brillante dispositivo IoT hogareño, con su etiqueta que muestra que tiene una contraseña única y que habrá actualizaciones durante cinco años. A la hora de utilizarlo por primera vez, para simplificar, establece la misma contraseña que utiliza en los otros dispositivos IoT que tiene en la casa, conecta el dispositivo y disfruta de sus funcionalidades. Cuando el fabricante le envía una notificación por correo electrónico indicando que hay disponible una actualización del firmware, suponiendo que haya registrado el dispositivo, usted elimina el correo debido a que el dispositivo está funcionando y no considera necesario actualizar algo que funciona.
Si bien la legislación lleva a la industria a hacer que los dispositivos estén más seguros fuera de la caja, es más probable que sea la educación y el compromiso de los consumidores lo que haga que los dispositivos IoT para el hogar sean más seguros. Me pregunto si es posible hacer una legislación para eso.