Si echamos la vista atrás, en pocos años hemos llenado nuestros hogares de dispositivos electrónicos que nos hacen la vida más fácil. Pero que están conectados a Internet. Y esto tiene un riesgo. No todos los fabricantes están lo suficientemente concienciados como para ofrecer actualizaciones a sus clientes. Venden su producto a un precio tan bajo que cuando deja de recibir parches o no funciona bien, te sale más a cuenta comprar otro. Pero esto viene acompañado de vulnerabilidades por las pueden colarse tus datos personales. Para ponerle remedio, surge la Ley de Ciberresiliencia dentro del ámbito de la Unión Europea.
El objetivo de la Ley de Ciberresiliencia de la UE es obligar a los fabricantes y vendedores de productos de hardware y software a que tomen conciencia y contribuyan a que estos productos sean seguros con el paso del tiempo. Televisores, neveras, lavadoras, termostatos, cámaras de vigilancia, altavoces, asistentes inteligentes, detectores de movimiento… Hay un sinfín de dispositivos en el mercado que son susceptibles de ser atacados a través de Internet aprovechando la dejadez de sus fabricantes. Bien porque configuran claves débiles por defecto o porque no publican parches ni actualizaciones.
Puede que tengas la suerte de que tu proveedor de Internet ofrezca un sistema de seguridad integrado en tu router, como ocurre con Conexión Segura de Movistar. Pero toda precaución es poca cuando hablamos de decenas de dispositivos conectados a la red y que deberían trabajar para nosotros y no ser víctimas de ciberdelincuentes. Así pues, ¿cómo nos afectará como consumidores europeos esta nueva Ley de Ciberresiliencia?
El largo camino de un reglamento europeo
Como suele ser habitual, esta Ley de Ciberresiliencia no surge de la noche a la mañana. A finales de 2020, el Consejo Europeo compartió sus conclusiones sobre ciberseguridad en dispositivos conectados. Lo que durante años hemos llamado domótica, pero que hoy en día ha pasado a ser simplemente hogar inteligente u hogar conectado. La importancia de este tipo de aparatos, tan presentes en viviendas y oficinas, obligó a que se gestionase una normativa específica más allá de las que regulan otros temas más amplios como la ciberseguridad, la protección de datos, etc.
En 2022, la Comisión Europea se pone a trabajar en dicha ley. Hace su propuesta a finales del mismo año y, finalmente, a finales de 2023, el Parlamento Europeo y el Consejo Europeo dan su aprobación a dicha Ley de Ciberresiliencia. Su aplicación, desde enero de 2024, implica que en los próximos 3 años, los dispositivos conectados que se fabriquen y/o vendan en la Unión Europea, deberán cumplir con las pruebas de ciberseguridad indicadas en esta Ley.
Productos más seguros durante su vida útil
Como decía antes, hoy es frecuente que compremos un dispositivo conectado, económico y fácil de instalar. Pero al cabo de un año o más, deja de recibir actualizaciones. Esto hace que ese dispositivo sea menos seguro. Y que pueda ser aprovechado para infectar otros dispositivos que tengamos en casa. Eso sin contar con que la ausencia de actualizaciones acorta la vida útil del producto.
La Ley de Ciberresiliencia obligará a que los fabricantes de estos aparatos se responsabilicen de ellos más allá de su fabricación y venta. Primero, tendrán que superar unos tests de ciberseguridad. Segundo, deberán publicar actualizaciones de seguridad durante la vida útil del producto. Y si descubren vulnerabilidades, tendrán que informar de ellas a las administraciones en las primeras 24 horas.
Monitores para bebés, cámaras de vigilancia, sensores de movimiento, relojes y pulseras inteligentes, termostatos y reguladores de temperatura, aires acondicionados y sistemas de calefacción, neveras y lavadoras… Existen multitud de aparatos electrónicos que hoy en día tienen la capacidad de conectarse a Internet para ofrecer un mejor servicio. Pero esto se traduce en que, si no están bien diseñados o el software es obsoleto, el producto se convierte en una herramienta para los ciberdelincuentes.
Esta Ley “tiene como objetivo proteger a los consumidores y las empresas que compran o utilizan productos o software con un componente digital”. Para ello se introducen “requisitos obligatorios de ciberseguridad para los fabricantes y minoristas de tales productos”, una protección que se extiende “a lo largo del ciclo de vida del producto”. Cuando entre en vigor este Reglamento europeo, “los programas informáticos y los productos conectados a Internet llevarán el marcado CE para indicar que cumplen las nuevas normas”.
Dispositivos conectados más seguros de fábrica
En teléfonos móviles y ordenadores personales estamos más acostumbrados a hablar de seguridad y de configuraciones seguras. Hoy en día es habitual que tu teléfono te pregunte si quieres usar la cámara y el micrófono en determinada aplicación, recién instalada. Y de ti depende aceptar o no si confías en esa app. Pero estas medidas de seguridad no están tan presentes en dispositivos como cámaras, altavoces, sensores o electrodomésticos apodados “inteligentes”.
Con la aplicación de la Ley de Ciberresiliencia de aquí a 3 años, los fabricantes deberán incorporar una configuración segura de serie en sus productos. Así, si es necesario restaurar el producto, como ocurre con un teléfono móvil, podremos hacerlo fácilmente. Otro aspecto interesante tiene que ver con el cifrado de datos. Los dispositivos deberán solicitar el mínimo de datos posibles. Y si manejan información personal, deberá estar cifrada.
Más obligaciones para hacer más seguros los dispositivos conectados: actualizaciones automáticas de seguridad, depender lo menos posible de servicios externos para limitar las conexiones a Internet, tener medidas para no caer ante ataques externos de tipo denegación de servicio o fuerza bruta y limitar el uso de puertos para acceder a Internet.
En definitiva, una vez implementada esta Ley de Ciberresiliencia en la Unión Europea, “los fabricantes y minoristas priorizarán la ciberseguridad, los clientes y las empresas estarán facultados para tomar decisiones mejor informados y podrán confiar en las credenciales de ciberseguridad de los productos marcados por el indicativo CE”.
