El Senado de EEUU solicita mayores requisitos para la seguridad de IoT
Un proyecto de ley presentado esta semana al Senado de Estados Unidos podría ser el primer paso hacia la fijación de la seguridad de IoT, requiriendo que los fabricantes de dispositivos que quieran hacer negocios con el gobierno federal cumplan con los estándares básicos de seguridad.
El proyecto de ley obliga a que cualquier dispositivo conectado a Internet proporcionado por contratistas gubernamentales esté libre de vulnerabilidades de seguridad conocidas, pueda recibir actualizaciones regulares de software y utilice estándares actualizados de la industria de comunicaciones y cifrado.
Que estas modestas propuestas se ven como un cambio sísmico en el mercado de IoT da una idea de lo inseguros que son una gran cantidad de dispositivos IoT. Asegurarlos no es una tarea fácil. Estos no son puntos finales tradicionales que pueden ejecutar sus propias suites de seguridad, a menudo carecen de potencia de cálculo y se producen en un número tan grande de tipos y modelos que el enfoque estándar de seguridad no se aplica realmente.
La idea detrás del proyecto de ley es usar el músculo del gobierno federal como un gigantesco cliente potencial para estimular una reevaluación de la forma en que los fabricantes de dispositivos conectados abordan el diseño del producto. Uno de los principales patrocinadores del proyecto de ley, el senador Mark Warner, dijo que el hecho de que muchos fabricantes vean la seguridad como una idea tardía es un fracaso del mercado.
Falta de salvaguardias
"Aunque estoy tremendamente entusiasmado con la innovación y la productividad que los dispositivos de Internet de las cosas van a desencadenar, desde hace tiempo me preocupa que se vendan demasiados dispositivos conectados a Internet sin las salvaguardias y protecciones adecuadas", asegura en un comunicado.
Es difícil evitar la conclusión de que muchos fabricantes de dispositivos no están haciendo un esfuerzo serio para asegurar sus productos, según expertos como David Dufour, director senior de ciberseguridad e ingeniería de Webroot. ‘La parte más frustrante es que los atacantes a menudo entran en estos dispositivos mediante la explotación de agujeros de seguridad muy básicos o configuraciones deficientes’, y afirma, ‘estos hacks cotidianos son evitables, pero su potencial de devastación generalizada es grande’.
Seguridad primero
Hacer cambios a gran escala en el sector de IoT no ocurrirá de la noche a la mañana. Las empresas que fabrican dispositivos IoT son a menudo inexpertos en la fabricación de hardware conectado son empresas que siempre han hecho otros productos, pero ahora están construyendo la conectividad en ellos.
Danielle Jackson, directora de seguridad de SecureAuth, dijo que la ley representa una importante encrucijada para la tecnología IoT.
