"Los ciberdelincuentes ya atacan a empresas a través de pulseras inteligentes": Europa prepara una ley para impulsar la seguridad en los dispositivos conectados

La presidenta de la Comisión Europea, Ursula von der Leyen, anunció varias novedades legislativas en el pasado discurso sobre el Estado de la Unión, que tuvo lugar el miércoles pasado. Entre esas novedades sobresalieron una Ley de Chips para tratar de impulsar la producción de semiconductores en el continente, y así evitar su dependencia del suministro de potencias extranjeras.

Otra de las novedades que se anunciaron en ese discurso es una nueva regulación para garantizar que los dispositivos conectados, esenciales en la industria 4.0, cumplen con determinados estándares de seguridad informática. Es una demanda recurrente de firmas especializadas en la segurización de estos dispositivos, y más ante el auge del internet de las cosas (IoT).

"No podemos hablar de defensa sin hablar del ciberespacio", expuso Von der Leyen. "Si todo está conectado, todo puede ser hackeado", advirtió. De esta manera anunció el desarrollo de una Ley de Resiliencia Cíber cuyo propósito será crear unos estándares comunes de seguridad informática para el despliegue de este tipo de aparatos.

Los dispositivos conectados están en auge. Desde pequeños y medianos electrodomésticos en los hogares, hasta altavoces conectados e inteligentes. También en la industria, donde muchas factorías han logrado automatizar procesos y garantizar su cadena de valor gracias a sensores que regulan de forma autónoma la temperatura o pequeños robots.

El problema es que conforme más dispositivos se conectan a la red, mayor es la superficie de ataque que podrían aprovechar los ciberdelincuentes. Hace unos días se sabía que gran parte del tráfico que se registra anualmente en internet lo protagonizan bots. 

Muchos de estos bots no son más que cámaras web, bombillas conectadas o dispositivos vulnerables, secuestrados para formar parte de una botnet que, aunando su capacidad de procesamiento, logran reventar por la fuerza bruta sistemas informáticos, por resistentes que estos puedan ser. Así han sido algunas de las mayores caídas de la red de los últimos años.

En su discurso, Von der Leyen abundó en que las tecnologías digitales habían sido un enorme ecualizador "en la manera en la que se puede usar su poder" por parte también de colectivos de criminales o espías informáticos para irrumpir en infraestructuras críticas. Incluso en hospitales. "Y debido a los recursos con los que contamos, debemos unir fuerzas".

Europa quiere ser líder en ciberseguridad. Por eso, junto con esta nueva ley para estandarizar sistemas de seguridad en dispositivos conectados, Europa ya trabaja en la Directiva NIS2 que amplía el foco de la NIS original. El eurodiputado Bart Groothuis, que lidera el desarrollo de NIS2 en el Parlamento Europeo, fue así de claro en declaraciones a Euractiv:

"El internet de las cosas está generando una enorme cantidad de productos inseguros, ya que la seguridad no está a menudo en las mentes de los fabricantes de estas máquinas. Y todavía no hay ningún estándar europeo al que acogerse. Está bien tener una cafetera inteligente en casa, pero hay que tener claro que es una puerta que los ciberdelincuentes pueden atravesar".

David Purón es el CEO de Barbara IoT, una startup española que desarrolla un sistema operativo para este tipo de dispositivos llamado Barbara OS. Bajo la premisa de que, como dice el refrán, "nadie se acuerda de santa Bárbara hasta que truena", Purón y los suyos pretenden proteger vía firmware muchos de los dispositivos que se están desplegando en industria.

6 clases de ciberamenazas a las que se enfrentan los dispositivos IoT que no estén bien protegidos en una industria, según la española Barbara IoT

Por eso no le sorprende la noticia de que Europa también quiera garantizar estos estándares. "La Comisión Europea y la ENISA llevan bastante tiempo trabajando en esto". La ENISA es un organismo europeo especializado en ciberseguridad. "Quieren alinear unos estándares de certificación con varios niveles de seguridad".

"A Barbara IoT nos viene bien porque ayudamos a cumplir esos estándares. Entiendo que la ley se traducirá en un impulso a nuestra propuesta de valor", considera, en declaraciones a este medio. "Europa, en materia de legislación en ciberseguridad siempre ha sido un ejemplo. Basta recordar el RGPD o la primera directiva NIS". "Es algo super puntero".

En repetidas ocasiones, Purón ha explicado en Business Insider España que algunos de los problemas más comunes a los que se enfrentan estos dispositivos es la falta de seguridad en el diseño del firmware que les permite funcionar. Por ejemplo, usuarios y contraseñas establecidos por defecto muy fáciles de vulnerar (el habitual admin, admin, para iniciar sesión o acceder al dispositivo).

"Al final los atacantes siempre buscan entrar por el eslabón más débil y ahora mismo los dispositivos conectados son muy vulnerables. En el mundo del ordenador existe un mercado maduro. Hay antivirus y Windows está totalmente protegido. Pero los atacantes, cuando quieren entrar en una empresa, ya van por los aires acondicionados o por las pulseras inteligentes", advierte.

No se conocen muchos ejemplos de ello, aunque sí bastantes rumores. El celo es habitual alrededor de un incidente informático de estas características. Y hablar de más podría suponer que se estén dando pistas a más ciberdelincuentes. Pero Purón asegura que ya ha visto con asiduidad cómo grandes compañías sufrían ataques a través de sus dispositivos conectados.

"Ejemplos hay muchos", refleja. "Los rumores", continúa, suelen ser verdad.