¿Qué es la Marca de Ciberconfianza de EE.UU.?
La Marca de Ciberconfianza de Estados Unidos (o “U.S. Cyber Trust Mark“) es una propuesta de la Comisión Federal de Comunicaciones de Estados Unidos (“Federal Communications Commission” o “FCC“) para establecer un programa de etiquetado de ciberseguridad que proporcione a los consumidores información transparente sobre la seguridad de sus dispositivos inteligentes con conexión a Internet.
Siguiendo el modelo del programa estadounidense Energy Star, el programa Cyber Trust Mark está diseñado para ayudar a los consumidores a tomar decisiones de compra informadas y motivar a los fabricantes a adherirse voluntariamente a las normas gubernamentales de ciberseguridad del Internet de las Cosas (“Internet of Things” o “IoT“).
Si se aprueba, el programa podría estar operativo a finales de 2024.
Diccionario Techopedia: Marca de Ciberconfianza de EE.UU.
La propuesta de la FCC forma parte de la Implementación de la Estrategia Nacional de Ciberseguridad de Estados Unidos y está siendo supervisada por el Consejo de Seguridad Nacional del país.
Actualmente, la propuesta está solicitando contribuciones públicas sobre cuestiones tales como:
- La gama de dispositivos o productos disponibles en Estados Unidos que pueden incluirse en el programa de etiquetado;
- La formulación de normas de seguridad aplicables a diferentes tipos de dispositivos o productos IoT;
- Los métodos para demostrar el cumplimiento de estas normas de seguridad;
- La entidad responsable de supervisar y gestionar el programa;
- La protección de la etiqueta de ciberseguridad contra el uso no autorizado; y
- Educar a los consumidores sobre el programa.
Ventajas del programa para el consumidor
Se espera que los dispositivos inteligentes que cumplan las normas puedan mostrar el logotipo de la Marca de Ciberconfianza de Estados Unidos en el embalaje junto con un código QR que apunte a un registro nacional de dispositivos certificados. El registro nacional permitirá a los consumidores acceder a la información de seguridad más actualizada sobre el producto que están pensando comprar y comparar la información con la de productos similares.
Gigantes de la tecnología como Amazon, Google, LG Electronics, Logitech y Samsung Electronics ya se han comprometido a apoyar la Marca de Ciberconfianza de Estados Unidos, que aparecerá en los productos aprobados como un logotipo con un escudo distintivo.
La FCC prevé que, a medida que siga creciendo la demanda de productos inteligentes fiables por parte de los consumidores, cada vez más fabricantes participarán voluntariamente en el programa para demostrar su compromiso con la privacidad, la confidencialidad y la seguridad.
Importancia del Programa de la Marca de Ciberconfianza de EE.UU.
Según Deloitte, los hogares estadounidenses tendrán una media de 22 dispositivos IoT conectados en 2022. Estos productos ofrecen inmensos beneficios, pero también plantean una variedad de desafíos de seguridad debido a un diseño deficiente y/o software obsoleto.
Los dispositivos IoT inseguros son un objetivo atractivo para los ciberdelincuentes, ya que pueden utilizarse para obtener acceso a la red que permita al pirata realizar un ataque lateral. Las brechas en los sistemas IoT de los consumidores pueden tener graves consecuencias, desde violaciones de la privacidad hasta robos, e incluso daños físicos en sectores críticos como la sanidad.
Los investigadores de amenazas de SonicWall Capture Labs registraron 112,3 millones de instancias de malware IoT en 2022, un aumento del 87% con respecto a 2021. Al mismo tiempo, el número de dispositivos inteligentes sigue aumentando, con proyecciones que sugieren que habrá más de 25.000 millones de dispositivos conectados y operativos en 2030.
La ausencia de normas de seguridad universales para los dispositivos IoT ha dado lugar a incoherencias en las prácticas de seguridad, lo que dificulta que los consumidores tomen decisiones de compra informadas.
Para mitigar los problemas de seguridad, es crucial que fabricantes, gobiernos y consumidores den prioridad a la seguridad de la IO.
Productos de dispositivos inteligentes elegibles
Se espera que una amplia gama de productos inteligentes de consumo sean elegibles para la Marca de Confianza, incluyendo:
- Asistentes digitales personales;
- Cámaras de seguridad domésticas conectadas a Internet
- Mandos a distancia activados por voz
- Altavoces inteligentes
- Electrodomésticos de cocina inteligentes
- Pulseras deportivas como Fitbit
- Localizadores GPS
- Dispositivos médicos inteligentes
- Mandos de garaje conectados a Internet
- Bombillas inteligentes
- Vigilabebés
- Robots aspiradores
- Televisores conectados a Internet
- Termostatos inteligentes
- Enrutadores de consumo
Requisitos para la certificación
Los requisitos para la certificación de la Marca de Ciberconfianza de EE.UU. aún están en fase de desarrollo, pero se espera que aborden los siguientes aspectos:
- Contraseñas por defecto únicas y fuertes: Los dispositivos deben tener contraseñas por defecto únicas y fuertes que no puedan ser fácilmente adivinadas o descifradas.
- Protección de datos: Los dispositivos deben proteger los datos del acceso, uso, divulgación, alteración, modificación o destrucción no autorizados.
- Actualizaciones de software: Los dispositivos deben poder recibir actualizaciones de software y firmware para corregir vulnerabilidades de seguridad.
- Capacidad de detección de incidentes: Los dispositivos deben tener la capacidad de detectar y notificar incidentes de seguridad de forma autónoma.
- Desarrollo seguro: Los dispositivos deben desarrollarse utilizando las mejores prácticas de codificación segura.
- Cadena de suministro segura: Los dispositivos deben proceder de proveedores seguros.
- Gestión del final de la vida útil: Los dispositivos deben desecharse adecuadamente al final de su ciclo de vida para evitar que se exploten las vulnerabilidades de seguridad.
La solicitud de contribuciones de la FCC indica que los requisitos específicos para la certificación pueden variar en función del tipo de dispositivo. Por ejemplo, los dispositivos inalámbricos que procesan datos sensibles, como los routers domésticos inalámbricos, pueden tener requisitos más estrictos que los dispositivos que no lo hacen.
Marca de Ciberconfianza de EE.UU. y NIST
La propuesta de la FCC de un sistema de etiquetado, que se expone en este Aviso de Propuesta de Reglamentación, se basa en normas desarrolladas por el Instituto Nacional de Normas y Tecnología (“National Institute of Standards and Technology” o “NIST“). Se espera que se base en los esfuerzos existentes en los sectores público y privado para abordar los problemas de ciberseguridad y etiquetado en los dispositivos inteligentes, incluyendo:
- El Marco de Ciberseguridad del NIST y la Publicación Especial 800-183 del NIST, ambos de los cuales ofrecen orientación sobre la seguridad de los dispositivos IoT.
- Los esfuerzos del Consorcio de la Industria de Internet (“Industry Internet Consortium” o “IIC“), la Fundación de Conectividad Abierta (“Open Connectivity Foundation” o “OCF“) y la Fundación de Seguridad IoT para definir normas de seguridad para los dispositivos IoT.
- Las directrices de la Administración Nacional de Telecomunicaciones e Información para los fabricantes de dispositivos IoT.
- Las leyes de los estados de California y Oregón que exigen características de seguridad específicas en los dispositivos IoT vendidos en cada estado.
- El programa de certificación de la Alianza ioXt que evalúa la seguridad de los dispositivos IoT.
Otras normas de seguridad de IoT
Estados Unidos no es el único país que está animando a los fabricantes de dispositivos IoT a hacer de la seguridad de los dispositivos IoT una prioridad. Diferentes países y organizaciones internacionales de todo el mundo han estado trabajando en normas de seguridad IoT para salvaguardar la integridad y privacidad de los sistemas IoT. Entre las iniciativas se incluyen:
Unión Europea
La propuesta Ley de Ciberresiliencia de la Unión Europea pretende abordar la falta de ciberseguridad en los productos IoT de consumo, así como la falta de actualizaciones o correcciones para abordar las vulnerabilidades. A diferencia de las directrices voluntarias propuestas por Estados Unidos, la Ley de Ciberresiliencia prevé multas y sanciones importantes para los infractores, y especifica que los productos que no cumplan los requisitos de seguridad establecidos en la Ley no podrán salir al mercado.
Reino Unido
La Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones de 2022 (“Product Security and Telecommunications Infrastructure Act” o “PSTIA“) ayuda a garantizar que los dispositivos IoT de los consumidores sean más seguros frente a las amenazas, prohibiendo las contraseñas predeterminadas y estipulando que los fabricantes revelen durante cuánto tiempo tienen previsto ofrecer actualizaciones de seguridad de los productos.
Para garantizar el cumplimiento de la nueva normativa, la ley establece un régimen de aplicación que incluye sanciones civiles y penales. También exige a los fabricantes que designen un punto de contacto para notificar problemas de seguridad y vulnerabilidades de los dispositivos IoT.
Europa
La Agencia de Ciberseguridad de la Unión Europea (“European Union Agency for Cybersecurity” o “ENISA“) ha trabajado activamente en la elaboración de recomendaciones y buenas prácticas en materia de seguridad de la IoT. La Ley Europea de Ciberseguridad ordena el desarrollo de un marco europeo de certificación de ciberseguridad IoT para garantizar la seguridad de los dispositivos IoT.
China
La Administración de Normalización de China ha creado la Asociación de Normas de Comunicaciones de China (“China Communications Standards Association” o “CCSA“) para desarrollar normas nacionales que cubran diversos aspectos de la seguridad IoT, como la autenticación de dispositivos, la protección de datos y la seguridad de la red.
Japón
El Ministerio de Asuntos Internos y Comunicaciones (“Ministry of Internal Affairs and Communications” o “MIC“) de Japón ha publicado directrices para la seguridad de la IoT. Estas directrices abordan temas como la gestión de contraseñas, el cifrado de datos y las actualizaciones de software para mejorar la seguridad IoT en el país.
Internacional
La Organización Internacional de Normalización (“International Organization for Standardization” o “ISO“) y la Comisión Electrotécnica Internacional (“International Electrotechnical Commission” o “IEC“) colaboran en el desarrollo de normas mundiales para la seguridad IoT. ISO/IEC 27001 e ISO/IEC 27002 son normas internacionales ampliamente reconocidas para la seguridad de las tecnologías de la información y la comunicación (TIC) que pueden aplicarse a los sistemas IoT.