Que una impresora vulnerable no sea tu perdición: Europa anuncia el nuevo reglamento de Ciberresiliencia para exigir dispositivos IoT más seguros

Los dispositivos conectados (el internet de las cosas, el IoT) tendrán que cumplir en la Unión Europea nuevos requisitos para garantizar que son ciberseguros. Las bombillas conectadas no podrán tener credenciales vulnerables. Las neveras que se descargan recetas tendrán que hacerlo con protocolos más estrictos. Los robots aspiradores tendrán que almacenar mejor los planos de tu casa.

Pero los cambios se notarán más en la industria. Muchos ciberataques con ransomware (un código dañino que ciberdelincuentes emplean para cifrar los archivos de la red de sus víctimas, robar información e incluso pedir rescates a cambio de devolver todo a la normalidad) empiezan a través de esos dispositivos. Un ataque a una impresora puede poner en peligro a toda una empresa.

Impresoras, cámaras, sensores o bombillas tendrán que ser más ciberseguros para evitar ataques a las redes de las que formen parte, y también para evitar convertirse en un bot más de un enjambre de bots (botnet) como las que usan los criminales informáticos para golpear a sus objetivos. Tendrán que ser más ciberseguros, sobre todo, porque lo dirá una futura regulación europea.

La Comisión Europea ha presentado este jueves su propuesta para un Reglamento de Resiliencia Cibernética, con el objetivo de "proteger a usuarios y negocios de productos con características de seguridad inadecuadas". Lo interesante de esta iniciativa, la primera del estilo en Bruselas, es que introducirá "requisitos y estándares para productos conectados" en "todo su ciclo de vida útil".

Así lo explica el propio Ejecutivo comunitario en un comunicado de prensa. El que la Comisión haya presentado la propuesta es el primero de los múltiples pasos antes de que la norma acabe convirtiéndose efectivamente en ley. Ahora se abre un período de años en el que el Ejecutivo deberá esperar a que los colegisladores (Parlamento y Consejo de la UE) se pongan de acuerdo.

No pilla tampoco por sorpresa a nadie: esta norma ya fue anunciada por la presidenta de la propia Comisión, Ursula von der Leyen, en septiembre del año pasado, durante su discurso en el debate del estado de la Unión Europea. Parte de la Estrategia de Ciberseguridad Europea y de la Estrategia de Seguridad de la Unión, ambas de 2020.

El fin de las contraseñas, la IA o el internet de las cosas: así es la vorágine de tendencias que está acelerando la transformación de la ciberseguridad

"Nos merecemos sentirnos seguros con los productos que compramos. De la misma manera que un juguete o una nevera deben cumplir con el marcado de conformidad europea, la nueva norma de Resiliencia Cibernética se asegurará de que los dispositivos conectados y el software que compramos tengan salvaguardas", ha expuesto Margrethe Vestager, comisaria de Competencia.

En la misma línea se ha expresado Margaritis Schinas, comisario de Protección del Estilo de Vida Europeo, que ha incidido en cómo este proyecto es la "respuesta" a "las amenazas modernas que están siendo omnipresentes en nuestra sociedad digital". Thierry Breton, comisario de Mercado Interior, lo ha dejado claro: la norma introducirá "la ciberseguridad por diseño" en muchos artículos.

"Cuando se trata de ciberseguridad, Europa es tan fuerte como lo puede ser su eslabón más débil, ya sea un estado miembro vulnerable o un producto inseguro en una larga cadena de suministro. Ordenadores, teléfonos, aplicaciones inmobiliarias, coches, juguetes... cada uno de estos millones de productos conectados pueden ser un punto de entrada para un ciberataque", según Breton.

Lo que planteará esta norma serán reglas a la hora de distribuir productos conectados para que estos garanticen ser ciberseguros: requerimientos básicos durante su diseño, desarrollo y producción, así como obligaciones para los operadores económicos relacionados con estos artículos. 

También exigirá nuevos estándares a cumplimentar cuando se descubran vulnerabilidades en estos productos, como por ejemplo la obligatoriedad de que los desarrolladores o fabricantes de los mismos sean los encargados también de reconocer agujeros de seguridad, incidentes y desarrollar parches que los corrijan. Sobre dispositivos IoT, no existían normas del estilo al respecto todavía.

Además, se crearán también normas específicas para aquellos artículos diseñados para labores policiales o de vigilancia. "Las nuevas normas reequilibran la responsabilidad de los fabricantes, que tendrán que asegurarse de cumplimentar con los requisitos exigidos para sus artículos si los quieren distribuir en el mercado europeo", incide la Comisión.

La futura regulación es la primera de su estilo para Europa que aborda la ciberseguridad de los productos IoT, y también podría ser "un referente internacional". La regulación afectará a los dispositivos conectados directa o indirectamente a otro producto o red, pero habrá excepciones: ya hay productos regulados en sectores como el aéreo, sanitario o el automóvil mediante otras normas.

Este futuro Reglamento de la Resiliencia Cibernética se complementará con el resto de iniciativas que conforman el marco de ciberseguridad europeo, en el que se encuadran directivas como la NIS o la NIS 2 o el futuro Reglamento de Ciberseguridad europeo.