La Internet de las Cosas (IoT, por sus siglas en inglés) se está convirtiendo rápidamente en la próxima frontera de la innovación tecnológica para consumidores, empresas, industria y gobiernos. Según Gartner, para el año 2020, la tecnología IoT estará presente en el 95% de los productos electrónicos de diseño nuevo. Sin embargo, el mismo estudio de Gartner también sugiere que “hasta 2022, la mitad de todos los presupuestos de seguridad para IoT se destinarán a la solución de fallas, llamados a revisión y características de seguridad en lugar de la protección”. Esto plantea una gran pregunta para aquellos que aprovechan los beneficios de IoT: ¿por qué los gobiernos y las autoridades reguladoras no están haciendo nada al respecto?

En la Conferencia de Seguridad RSA en febrero, Bruce Schneier, CTO de IBM Resilient, afirmó: “No se puede hablar de regulación versus no regulación, ese barco ya zarpó. Ahora se trata de regulación inteligente o estúpida”. Es hora de ponerse en marcha, pero ¿qué se está haciendo actualmente? La verdad es que no mucho. El Senado de Estados Unidos presentó un proyecto de ley bipartidista en agosto que exige requisitos mínimos de seguridad para los dispositivos IoT utilizados por el gobierno federal, aunque sus recomendaciones son muy generales y limitadas en alcance.

Según el proyecto de ley propuesto, los proveedores deberán asegurarse de que sus dispositivos sean actualizables, utilicen protocolos estándar de la industria, no utilicen contraseñas codificadas y no contengan vulnerabilidades. Si bien los senadores que presentaron el proyecto de ley expresaron su preocupación por la falta de seguridad en los dispositivos IoT, las autoridades reguladoras están haciendo poco para abordar las aplicaciones comerciales y de consumo de esta tecnología.

Algunas de las primeras políticas regulatorias se están redactando en la Unión Europea, ya que la seguridad y privacidad de IoT están relacionadas con las iniciativas de cumplimiento del Reglamento General de Protección de Datos (GDPR). En Estados Unidos, actualmente solo el estado de California parece estar preocupado por el impacto de las tecnologías emergentes. En este caso, el Senado del Estado de California redactó el Proyecto de Ley 327, que aún no ha sido ratificado, y solicita características de seguridad incorporadas de los fabricantes de dispositivos conectados. También requeriría que los fabricantes “equipen los dispositivos con características de seguridad razonables”, “diseñen el dispositivo para que el consumidor sepa cuándo se está recopilando información” y notifiquen directamente a los consumidores sobre los parches de seguridad y las actualizaciones relevantes.

Es evidente que se necesita una mayor regulación en el campo de la IoT para garantizar la seguridad y privacidad de los usuarios. Si bien algunos avances se están realizando en los Estados Unidos y la Unión Europea, es necesario que más gobiernos y autoridades reguladoras tomen medidas para proteger a los consumidores y las empresas de las posibles amenazas de seguridad que pueden surgir con la expansión de la IoT. La regulación inteligente es fundamental para garantizar que la IoT pueda seguir creciendo y brindando beneficios sin comprometer la seguridad de las personas y la integridad de los datos.