La nueva ley de Ciber Resiliencia ( Cyber resilience), obligará a que en un plazo de 3 años, routers, switches, domótica y otros dispositivos puestos a la venta tengan que superar pruebas de ciberseguridad. Además, los fabricantes tendrán que publicar actualizaciones de seguridad durante su vida útil, estando obligados a reportar a la administración nuevas vulnerabilidades en las primeras 24 h. tras su descubrimiento.
La comercialización en Europa de dispositivos conectados inseguros tiene los días contados, después de que Parlamento y Consejo Europeo hayan acordado hace unos días aprobar la Ley de Ciber Resiliencia propuesta por la Comisión hace más de un año. Este es el último paso antes de su aprobación formal y publicación en el DOUE, lo que hará que el reloj empiece a contar para que los dispositivos comercializados en el continente cumplan la nueva regulación.
La Ley de Ciber Resiliencia quiere atajar la popularización en hogares y empresas de dispositivos electrónicos conectados de bajo coste que no son seguros, bien porque el software que los hace funcionar tiene un diseño deficiente o porque el fabricante se desentiende de su actualización pasado un tiempo.
Nuevas exigencias de seguridad
La nueva ley obliga a los fabricantes a integrar la seguridad desde las primeras fases del diseño del producto, teniendo que pasar una vez esté finalizado un test de conformidad que le dará derecho a llevar el marcado CE.
- Por defecto tendrán que traer una configuración segura a la que el usuario pueda volver fácilmente si hace modificaciones.
- Deberán cifrar la información si manejan datos personales, debiendo solicitar los mínimos datos necesarios.
- Tendrán que tener tolerancia a fallos, especialmente los causados por ataques de denegación, además de minimizar la dependencia del funcionamiento de servicios externos.
- Las interfaces abiertas, como los puertos, tendrán que limitarse al mínimo necesario.
- Traerán mecanismos de actualización automática y aviso al usuario de su disponibilidad.
Una vez en el mercado el fabricante será el responsable de su seguridad durante la vida útil del producto, para los cual tendrá que publicar actualizaciones de seguridad para parchear vulnerabilidades y mantener al cliente informado de los riesgos que surjan.
- Tendrán que identificar nuevas vulnerabilidades
- Publicar gratuitamente actualizaciones de seguridad sin demora, una vez se conozca una vulnerabilidad
- Se publicará información de las vulnerabilidades una vez hayan sido subsanadas
Entre los dispositivos a los que afecta la Ley de Ciber Resiliencia encontramos routers, modems destinados a la conexión a internet y switches. Los routers domésticos han sido blanco frecuente de redes de bots como Mirai, que ahora tendrán más difícil aprovechar la dejadez de algunas marcas a la hora de actualizar sus productos.
Se espera que la Ley entre en vigor durante la primera mitad de 2024. Las marcas tendrán entonces un periodo de 36 meses para adaptarse a la nueva normativa. Los países supervisarán y retirarán del mercado a partir de entonces aquellos productos que no cumplan.
Aviso al Gobierno
Aunque sobre el papel la Ley va a contribuir a hacer las redes más seguras, su artículo 11 introduce la obligación de que los fabricantes informen a los gobiernos de nuevas vulnerabilidades dentro de las 24 horas siguientes a su descubrimiento. Esto es incluso antes de que sean parcheadas.
Numerosas organizaciones, entre ellas Eset, Trend Micro o Google, han dado la voz de alarma en una carta abierta, avisando de que los Gobiernos podrían hacer mal uso de esta información privilegiada, al tratarse de vulnerabilidades no parcheadas que pueden ser utilizadas por las agencias de inteligencia de los gobiernos con fines de espionaje.