La domótica y los routers vendidos en España tendrán que ser ciberseguros: qué dice la futura ley de Ciberresiliencia de la UE

Esta ley europea pionera en el mundo pone el foco de la seguridad en los fabricantes, que tendrán tres años desde su entrada en vigor para adaptarse

La sensación con algunos productos smart es que resultan interesantes inicialmente y sobre el papel, pero una vez comercializados y adquiridos, algunos fabricantes no se preocupan demasiado por el soporte extra derivado de la conectividad. Ese es precisamente uno de los grandes problemas de la domótica barata y uno de los objetivos que la ley europea de ciberresiliencia, pionera en el mundo, pretende atajar. Pero, ¿a qué obliga esa ley de ciberresiliencia exactamente y cómo nos afecta a usuarios y usuarias?

La ley de Ciberresiliencia sigue su avance hasta entrar en vigor. Después de que la Comisión Europea lanzase su propuesta en septiembre de 2022, en los últimos días el Parlamento Europeo y el Consejo han acordado su aprobación. Tras ella, tocará la aprobación formal y publicación en el DOUE para que sea oficial, algo que se producirá previsiblemente en 2024. A partir de ese momento hay un plazo de tres años para que los fabricantes los adopten y que si un router o domótica se vende en la UE, cuente con una certificación de ciberseguridad.

Cuando hablamos de domótica la lista es larga: relojes inteligentes, smart TVs, monitores de bebés, robots aspiradores... sí, tener internet es una comodidad en tanto en cuanto permiten el control a distancia y las rutinas, pero también un riesgo importante. Así, abren las puertas a un potencial ataque fruto de la conectividad, algo de lo que ya alertó la OCU hace unas semanas, sacando los colores a algunos de estos dispositivos anteriormente mencionados: contraseñas poco seguras, cifrado inexistente o débil, falta de soporte de actualizaciones, vulnerabilidades que permiten el ataque de software o hardware, entre otros.

La ley de ciberresiliencia, explicada

La ley de ciberresiliencia en ciernes se aplicará a la totalidad de dispositivos conectados directa o directamente a otro dispositivo o a la red, salvo el sofrware de código abierto o aquellos servicios ya cubiertos normas actuales, como dispositivos médicos, la aviación y los automóviles.

Con la ley en vigor, será requisito imprescindible integrar la seguridad desde el principio del desarrollo de un producto conectado. Una vez terminado y antes de su comercialización, tendrán que llevar a cabo un test de conformidad de ciberseguridad para, en caso de éxito, conseguir el marcado CE.

Un punto importante es que el fabricante tendrá responsabilidad sobre toda la vida útil del producto. Así, será obligatorio que identifiquen potenciales vulnerabilidades, actúen lo antes posible y de forma gratuita y que además estas sean documentadas públicamente una vez solucionadas.

Entre las exigencias de esta EU Cyber Resilience Act se encuentran:

  • Que la configuración por defecto sea segura y que permita a sus usuarios y usuarias poder retornar a esta después de aplicar modificaciones.
  • En caso de manejar datos personales, estos deberán estar cifrados. Asimismo, es requisito que la solicitud de información privada sea la mínima imprescindible.
  • Minimizar la dependencia de servicios externos y disponer de tolerancia a fallos (provocados por ataques de denegación del servicio).
  • Las interfaces abiertas estarán limitadas al mínimo necesario, como por ejemplo los puertos.
  • Con sistemas de actualización automática y notificaciones de disponibilidad.

Un apartado polémico de la ley es el artículo 11, que hace referencia a la obligatoriedad de las empresas de alertar a las entidades gubernamentales de sus vulnerabilidades en un plazo inferior a las 24 horas posteriores a su descubrimiento y sin que estas hayan sido solventadas. En una carta firmada por personal de ESET, Bitdefender o Google advierten de que esta información privilegiada puede suponer un riesgo en las manos inadecuadas, por ejemplo para espionaje.

Como hemos visto, desde su entrada en vigor en 2024, los fabricantes dispondrán de 36 meses para implantar todas estas medidas que provocarán que sus responsabilidades aumenten con una buena causa: mejorar la seguridad de sus productos y por ende, la experiencia de sus clientes. Eso sí, también habrá una cara B: probablemente algunos de esos dispositivos conectados baratos desaparezcan, suban los precios y en general se reduzca la vida útil para minimizar riesgos.

Vía | BandaAncha

Portada | Xataka

En Xataka Smart Home | Cualquier dispositivo conectado de casa puede ser hackeado. Esta innovadora idea hará que seamos más conscientes de ello

Ver todos los comentarios en https://www.xatakahome.com

VER 1 Comentario

Portada de Xataka Smart Home