El gobierno del Reino Unido ha lanzado recientemente un nuevo código de práctica para los dispositivos de Internet de las Cosas (IoT, por sus siglas en inglés), el cual ha sido ampliamente bienvenido como un paso hacia la implementación de la seguridad por diseño. Sin embargo, muchos dentro de la industria consideran que este código no va lo suficientemente lejos para proteger a los consumidores y a las organizaciones.
El código de práctica consiste en 13 directrices básicas, que incluyen evitar contraseñas predeterminadas, mantener el software actualizado, almacenar las credenciales de forma segura y minimizar las superficies de ataque expuestas. Los profesionales de la seguridad consultados por The Daily Swig están dando su aprobación cautelosa al código. Sin embargo, su carácter no obligatorio es motivo de preocupación para muchos.
“Si bien es ciertamente un paso en la dirección correcta que el gobierno del Reino Unido haya emitido un nuevo código de práctica para ayudar a los fabricantes a mejorar la seguridad de los dispositivos conectados a Internet, es poco probable que la industria lo cumpla, dado que es voluntario”, advierte John Sheehy, vicepresidente de estrategia de la empresa de seguridad IOActive. Esta opinión es compartida por Bharat Mistry, estratega principal de seguridad en Trend Micro, quien le gustaría ver un proceso de certificación similar a la marca CE.
“La industria necesita ir mucho más lejos, ya que actualmente solo vemos a los grandes jugadores tecnológicos adhiriéndose”, dijo a The Daily Swig. “En realidad, son los pequeños proveedores de dispositivos IoT de nicho los que representan el mayor riesgo”.
El código de práctica fue lanzado por el gobierno británico la semana pasada después de que un borrador inicial apareciera en su informe Secure by Design, publicado en marzo de este año. Fue elaborado por el Departamento de Digital, Cultura, Medios y Deporte (DCMS, por sus siglas en inglés) y el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) para animar a los fabricantes a asegurar sus productos antes de ponerlos a la venta.
Sin embargo, existe el peligro de que los proveedores tomen atajos en su afán por llegar al mercado rápidamente. “Las nuevas características y servicios impulsan las ventas, no la robustez”, dijo Andy Kays, CTO de la empresa de detección y respuesta a amenazas Redscan. “Los fabricantes están vendiendo prototipos como productos completamente desarrollados para generar atención y llegar al mercado lo más rápido posible”.
Otros cuestionan hasta qué punto se aplicará el código en la cadena de suministro. “La gran mayoría de los dispositivos IoT, especialmente aquellos destinados al uso del consumidor, tendrán proveedores y cadenas de suministro que simplemente no tienen los recursos, las habilidades o incluso la voluntad de cumplir con las recomendaciones del marco”, dijo Matt Walmsley, director de EMEA en la empresa de seguridad de inteligencia artificial Vectra, a The Daily Swig.
En conclusión, aunque el nuevo código de práctica del gobierno del Reino Unido es un paso en la dirección correcta para mejorar la seguridad de los dispositivos conectados, es necesario que la industria vaya más allá y se implementen medidas más estrictas. Los consumidores y las organizaciones deben estar atentos a la seguridad de los dispositivos IoT que adquieren y exigir a los fabricantes que cumplan con los estándares de seguridad necesarios para proteger sus datos y su privacidad.
