IoT para fabricantes

Aunque los consumidores deben ser conscientes de la importancia de la ciberseguridad de sus dispositivos de IoT, es crucial que los fabricantes hagan todo lo posible para garantizar que sus productos sean fiables y seguros. En general, sus esfuerzos serán beneficiosos para garantizar que los productos sean seguros y fiables. A medida que la aplicación de esta tecnología ha seguido creciendo, y se espera que alcance los 50 000 millones de dispositivos de IoT conectados a Internet de las Cosas en uso en 2022 (Juniper Research), los reguladores nacionales e internacionales, así como los protagonistas influyentes en el ámbito de Internet de las Cosas, han publicado varios informes y directrices que detallan lo que los fabricantes pueden hacer para garantizar que sus productos sean seguros por diseño.

US National Institute of Standards and Technology – NISTIR 8259

US National Institute of Standards and Technology (NIST, Instituto Nacional de Estándares y Tecnología de Estados Unidos) ha publicado recientemente un segundo proyecto de Recomendaciones para fabricantes de dispositivos de IoT: Actividades fundamentales y punto de referencia de capacidad de ciberseguridad de dispositivos básicos, o NISTIR 8259 para abreviar. El proyecto establece actividades voluntarias y recomendadas relacionadas con la ciberseguridad que los fabricantes deberían aplicar antes de vender sus dispositivos de IoT a los clientes. El objetivo de estas actividades es ayudar a los fabricantes a reducir los esfuerzos relacionados con la ciberseguridad que necesitan los clientes de dispositivos de IoT, lo que a su vez puede reducir la prevalencia y gravedad de los dispositivos de IoT comprometidos, así como los ataques realizados con dispositivos de IoT comprometidos.

El proyecto se puede encontrar aquí.


IoT Security Foundation

The Internet of Things Security Foundation (IoTSF), una iniciativa colaborativa, sin ánimo de lucro e internacional, creada en respuesta a la compleja realidad de la ciberseguridad en el sector hiperconectado de IoT ha escrito numerosas publicaciones de mejores prácticas que los fabricantes deberían implementar, como divulgaciones de vulnerabilidades, guías de mejores prácticas de diseño seguro y otros recursos que a los fabricantes pueden resultarles útiles. 

Los informes completos y recomendaciones se pueden encontrar aquí


Instituto Europeo de Normas de Telecomunicaciones – Especificación técnica sobre IoT de consumo

Instituto Europeo de Normas de Telecomunicaciones (ETSI) ha publicado la Especificación técnica del ETSI sobre ciberseguridad para Internet de las Cosas de consumo, un documento que establece trece directrices de seguridad centradas en los resultados que se recomienda que los fabricantes de dispositivos de IoT de consumo implementen. Esto incluye evitar el uso de contraseñas predeterminadas, implementar una política de divulgación de vulnerabilidades, mantener actualizado el software y almacenar datos confidenciales de manera segura en la fabricación de bienes de consumo. El documento asigna las directrices en función de los estándares establecidos por los organismos reguladores de ciberseguridad nacionales e internacionales, lo que ayuda a los desarrolladores a basarse en las mejores prácticas de todo el sector. 

Puedes encontrar más información sobre los estándares de IoT de consumo de ETSI aquí.


Legislación y consulta sobre IoT de consumo del Gobierno del Reino Unido

En mayo de 2019, el Gobierno del Reino Unido inició una consulta sobre propuestas normativas para la seguridad de IoT, que concluyó en junio de 2019. La consulta determinó que era necesario restablecer la transparencia dentro del mercado, centrándose en la necesidad de que los fabricantes fueran más transparentes sobre los requisitos de seguridad que se incorporaban a los dispositivos de IoT. Tras la consulta, el gobierno del Reino Unido presentó en febrero de 2020 una legislación que incluía tres requisitos de seguridad principales para los fabricantes de IoT: las contraseñas de los dispositivos de IoT deben ser únicas y no se pueden restablecer a ningún ajuste universal de fábrica, los fabricantes de productos de IoT deben proporcionar un punto de contacto público como parte de una política de divulgación de vulnerabilidades y, por último, los fabricantes de productos de IoT deben indicar explícitamente el tiempo mínimo durante el cual el dispositivo recibirá actualizaciones de seguridad. Cumplir estos tres requisitos garantiza que los consumidores reciban una protección importante contra las vulnerabilidades más básicas de los dispositivos de IoT.

La propuesta del Gobierno del Reino Unido se puede encontrar aquí


Directrices de confianza por diseño de Consumers International

Consumers International ha publicado una serie de principios y directrices para ayudar a los fabricantes a crear unos dispositivos de IoT de consumo seguros y fiables. Los principios de Confianza por Diseño y las directrices que los acompañan establecen requisitos en seis áreas para garantizar la seguridad, la privacidad, la transparencia, la facilidad de uso y el carácter ético de los dispositivos inteligentes. Las directrices incluyen una lista de comprobación, que los fabricantes pueden utilizar para garantizar que sus bienes de consumo cuenten con la aprobación de Confianza por Diseño, y estudios de caso útiles que pueden ayudar a los fabricantes con su implementación.

El informe completo, sus directrices y listas de comprobación se pueden encontrar aquí.


Infocomm Media Development Authority de Singapur – Directrices de IoT

Infocomm Media Development Unit (IMDA) (Unidad de desarrollo de medios de información y comunicación) de Singapur, una junta estatutaria del Gobierno de la ciudad-Estado, ha publicado una guía práctica para desarrolladores, proveedores y usuarios de IoT, que se centra en los aspectos de la seguridad del desarrollo y del funcionamiento de sistemas de IoT. La guía ofrece recomendaciones básicas sobre la fase de implementación y funcionamiento de proyectos de IoT, que incluyen el uso de criptografía sólida, la protección de datos de sistemas impactantes, la realización de modelos de amenazas, la aplicación de unos controles de acceso adecuados, la preparación y protección contra ataques, y la realización de evaluaciones periódicas. La guía también incluye una lista de comprobación práctica, que puede guiar a los usuarios en el proceso de creación de modelos de amenazas.

El informe completo de IMDA se puede encontrar aquí


Ministerio de Economía, Comercio e Industria de Japón – Directrices de seguridad de IoT 

En julio de 2016, IoT Acceleration Consortium (Consorcio de Aceleración de IoT) creado por el Ministerio de Economía, Comercio e Industria (METI) de Japón, publicó un conjunto de directrices de seguridad de IoT basadas en el «Principio de seguridad por diseño». Las directrices estaban previstas para ayudar a los fabricantes de IoT a adoptar medidas proactivas para proteger IoT y crear un entorno en el que los usuarios puedan utilizar dispositivos, sistemas y servicios de IoT de forma segura. Las directrices se basan en cinco principios: (i) establecer una política básica teniendo en cuenta la naturaleza de IoT; (ii) reconocer los riesgos de IoT; (iii) tener en cuenta un diseño para proteger lo que se debe proteger; (iv) considerar las medidas de seguridad en el lado de la red; y (v) mantener un estado seguro y protegido, así como enviar y compartir información. Cada principio incluye una lista de 4 o 5 medidas de seguridad que los fabricantes y usuarios deben seguir para garantizar la ciberseguridad de IoT. Las directrices se diseñaron con una amplia lista de lectores objetivo, incluidos fabricantes de dispositivos, proveedores de sistemas, proveedores de servicios, usuarios empresariales y usuarios en general.

Puedes encontrar las Directrices de seguridad de IoT de METI aquí.


Centro Australiano de Ciberseguridad – Código de prácticas para proteger IoT de consumo

El Ministerio del Interior de Australia, junto con la Dirección de Señales de Australia y el Centro Australiano de Ciberseguridad, han publicado un Código de prácticas voluntario para fabricantes de dispositivos de IoT. El proyecto de directrices, publicado en noviembre de 2019, tiene por objeto proporcionar estándares industriales a los fabricantes australianos y consta de 13 principios para mejorar la seguridad de los dispositivos de IoT. Los primeros tres principios son de la máxima prioridad e incluyen: establecer contraseñas únicas, impredecibles, complejas e imposibles de adivinar, proporcionar un punto de contacto público como parte de una política de divulgación de vulnerabilidades para notificar problemas y mantener actualizado el software puntualmente. El proyecto de Código de prácticas acaba de pasar por un período de consulta que ha finalizado el 1 de marzo de 2020.

El proyecto de Código de prácticas se puede encontrar aquí.


Agencia de la Unión Europea para la Ciberseguridad – Buenas prácticas para la seguridad de IoT

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha publicado el Informe sobre buenas prácticas para la seguridad de IoT, destinado a promover la seguridad por diseño de los productos de IoT. El informe se centra especialmente en las directrices para el desarrollo de software, un aspecto clave para lograr la seguridad por diseño de los dispositivos de IoT y describe las buenas prácticas en el ciclo de vida del desarrollo de software de los sistemas de IoT. Esto implica garantizar la seguridad de todo el ecosistema de IoT (dispositivos, comunicaciones, redes, nube, etc.) para reforzar la seguridad del proceso de desarrollo y generar unos dispositivos fundamentalmente más seguros.

El informe completo se puede encontrar aquí