A diario tenemos entre nosotros objetos físicos que son capaces de recoger, enviar o recibir datos a través de internet, lo que se denomina el Internet de las cosas (IOT).

internet de las cosas

La IoT (Internet of Things), permite capturar de datos relativos a los usuarios que día a día utilizan aparatos tecnológicos que se encuentran conectados a la red, lo que ha propiciado que se hayan planteado serias dudas con la seguridad de los mismos, tanto con respecto a la posibilidad de que una tercera persona pueda acceder o conectarse a estos dispositivos, así como sustraer la información que gestionan.

La Unión Europea, dentro de su proyecto de Mercado único Digital, está trabajando constantemente, en una definición de un marco legal que ampare a la IoT, siguiendo los pasos de EEUU, que ya están en proceso de establecer una regulación para la seguridad de los dispositivos.

Un grupo de senadores norteamericanos, presentaron a inicios del mes de agosto, una propuesta de ley destinada a establecer unos estándares que regulen la seguridad para todos aquellos objetos y aparatos que se encuentre conectados dentro de las redes de las agencias federales (Internet of Things Cibersecurity Improbement Act 2017). Siendo una iniciativa conjunta de representantes de los dos grandes partidos estadounidenses las probabilidades de que esta propuesta se transforme en ley son muy elevadas, no solo para el ámbito público sino también a todo lo relacionado con el gobierno.

¿Qué es un objeto conectado a internet?

La sección 2.ª de esta propuesta, incluye un apartado de “Definiciones” donde se describe claramente que es un “Objeto conectado a Internet (Internet Connceted Device)”. Estos aparatos, tienen la particularidad de que mantienen una conexión regular, a la vez que disponen de la capacidad de recoger, enviar y recibir datos.

Dado que esta “definición” es demasiado amplia, ya que abarca, a casi todos los aparatos que podemos tener en casa, tal como un smartphone, un TV o un ordenador portátil, según sugiere el distinguido analista, Ariel Rabkin en la web del American Enterprise Institute , la IoT, en la práctica, se podría aplicar a todos estos objetos que tengan conexión a internet, pero que se debería exonerar explícitamente de esta definición a los “ordenadores de uso general, tablets y teléfonos”, so pena de llegar muy lejos en el ámbito de aplicación de la norma.

Sin esta limitación, la norma sin duda va a tener un gran impacto en la actividad de los fabricantes de productos electrónicos que sean capaces de conectarse a Internet, es por ello, que fabricantes como Dzone.com, que deciden invertir en seguridad cibernética según un criterio de coste-beneficio, con esta norma pasan a ser en última instancia responsables de la seguridad de sus datos y sistemas.

Requisitos a la hora de adquirir objetos conectados a la internet de las cosas

El proyecto de ley se orienta radicalmente a proteger la seguridad de los dispositivos conectados (IoT) de las agencias ejecutivas federales de los Estados Unidos, por este motivo, se impone a dichas agencias incluir determinadas cláusulas específicas en sus contratos para la adquisición estos dispositivos.

Según explican las responsables de Inside Government Contracts Jennifer Martin, Catlin Meade y Weiss Nusraty, a través de su web, la ley requerirá que cada agencia incluya las siguientes cláusulas clave en sus futuros contratos para la adquisición de dispositivos conectados a Internet.

a) Certificación escrita del contratista de que sus dispositivos:- No contienen componentes con vulnerabilidades o defectos de seguridad conocidos incluidos en la Base de Datos Nacional de Vulnerabilidad del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) o en una base de datos similar identificada por el Director de la Oficina presupuestaria federal (Office of Management and Budget, OMB);- Incluyen componentes capaces de recibir parches “correctamente autenticados y de confianza” de los proveedores;- Utilizan tecnología y componentes estándar para la comunicación, encriptación e interconexión con dispositivos periféricos; y- No incluyen “contraseñas fijas o codificadas” para recibir actualizaciones o habilitar el acceso remoto.

b) Compromiso del contratista de notificar a la agencia adquirente cualquier “vulnerabilidad o defecto de seguridad descubierto por el propio contratista o revelado con posterioridad al vendedor por un investigador de seguridad, durante la vida del contrato.

c) Compromiso del contratista de actualizar, reemplazar o eliminar oportunamente, las vulnerabilidades identificadas de los componentes de software y firmware del dispositivo de una manera debidamente autenticada y segura. Esto incluye la obligación de proporcionar información a la agencia adquirente con respecto a la forma de tales actualizaciones, así como un cronograma y un aviso formal al finalizar el soporte de seguridad.

La propuesta, que incluye algunas excepciones a este clausulado, permitirá que los contratistas puedan presentar una solicitud de exención de determinados requisitos si revelan vulnerabilidades conocidas en dispositivos IoT ya vendidos al gobierno. De la misma manera, las agencias ejecutivas podrán solicitar una exención si la adquisición de dispositivos IoT de acuerdo con esas cláusulas de certificación de contrato resultase “inviable o económicamente poco práctica”.

El estatuto propuesto también permite a las agencias ejecutivas adquirir dispositivos IoT compatibles, siempre y cuando estos, cumplan con las normas de seguridad establecidas por un tercero o por la agencia federal de compras si las mismas proporcionan un nivel de seguridad equivalente o mayor que los prescritos por las cláusulas contractuales requeridas por la ley.

Notificación de divulgación de defectos de seguridad de dispositivos

La norma propuesta requiere que la Dirección Nacional de Protección y Programas del Departamento de Seguridad Nacional (Department of Homeland Security, DHS) emita unas directrices sobre los “requisitos de divulgación coordinados de seguridad cibernética” (Cibersecurity coordinated disclosure requirements) que los contratistas deberán cumplir si venden dispositivos de IoT al gobierno.

Estas directrices tendrán que describir, las políticas y procedimientos de investigación relativos a la seguridad de un dispositivo IoT basado en la Norma ISO 29147 de la Organización Internacional de Normalización o cualquier norma comparable.

Los requisitos para investigar y probar la seguridad de un dispositivo IoT, incluyendo una provisión de que la misma clase, modelo y tipo de dispositivo sean usados para propósitos de investigación y pruebas.

Inventario de dispositivos IoT por parte de las agencias

Este nuevo proyecto de ley establece que cada agencia federal ejecutiva tenga que elaborar y presentar un inventario de todos aquellos dispositivos que estén conectados a internet, dentro del plazo máximo de los 180 días siguientes al de su aprobación.

Por otra parte, y de igual forma, se requiere que el director de la OMB elabore una base de datos que sea de carácter y de acceso público, donde se recoja el nombre de aquellos fabricantes y dispositivos IoT a los que se les otorgan protecciones de responsabilidad, así como de aquellos fabricantes que hubieran notificado en legal forma al Gobierno, que los servicios de soporte para un dispositivo particular hubieran finalizado.