La seguridad es el mayor desafío al que se enfrenta hoy el IoT (the Internet of Things), un desafío colosal al considerar tanto los millones de dispositivos, servicios y aplicaciones de la IoT que ya están actualmente en uso como a la gran cantidad de usuarios hoy conectados.
Ante la necesidad de garantizar las condiciones de seguridad necesarias y a la luz de los fallos que se han evidenciado en este sentido a lo largo de los últimos años en los dispositivos IoT, California decidió dar un paso adelante, convirtiéndose en el primer estado de Estados Unidos con una ley de ciberseguridad para IoT.
La Ley, dirigida a los dispositivos conectados (entendiendo como tal “cualquier dispositivo u objeto físico que sea capaz de conectarse a Internet, ya sea de manera directa o indirecta, y que es asignado a una dirección de Protocolo de Internet o una dirección Bluetooth”), entrará en vigor el próximo 1 de enero de 2020, tratando de proteger la seguridad de los usuarios de dichos dispositivos bloqueando los accesos no autorizados, así como la modificación y/o divulgación de la información recopilada en dichos dispositivos.
Es en este sentido preciso señalar que, en la amplia definición de “dispositivos conectados” cabe incluir una variedad de dispositivos que van desde bombillas y teléfonos móviles hasta cámaras de seguridad, equipamiento de diagnóstico médico o televisiones.
De acuerdo con la nueva ley, todos los fabricantes que desarrollen algún dispositivo potencialmente incluido en dicha definición deberán asegurarse de que está equipados con medidas de seguridad “razonables”, capaces de garantizar la privacidad y seguridad de los usuarios. En línea con la amplia cobertura ya señalada, además, la ley californiana incluye dentro del término “fabricantes” –si bien con algunas exclusiones– no sólo a aquellas compañías que desarrollan por si mismas un determinado dispositivo sino también a aquellas que encargan el desarrollo a un tercero.
En este marco de la necesidad de afrontar los desafíos que en términos de seguridad suponen hoy los dispositivos inteligentes, el Reino Unido, tras la elaboración de un código de práctica voluntario, ha anunciado, también, su propuesta de legislar la seguridad de los dispositivos IoT.
Se trata, pues, de una preocupación que cabe esperar que se extienda en los próximos años a numerosas jurisdicciones, las cuales obligarán a los fabricantes, cuanto menos, a considerar la seguridad por diseño en el momento de desarrollar este tipo de dispositivos.
Ana Sánchez Asociada
