Telecomunicaciones | Noticias | 03 OCT 2018

Regulando IoT

El incremento de dispositivos conectados y la vulnerabilidad de las redes obligan a una serie de modificaciones, que pasan por normativas gubernamentales.
conectados
Redacción

Hace unos días, el gobernador del estado de California aprobaba una ley sobre seguridad en dispositivos conectados. La norma obliga a los fabricantes de elementos que vayan a estar en red a que cuenten con medidas razonables de seguridad, “que sean apropiadas para la naturaleza y función del dispositivo, apropiados para la información que puedan recoger, contener o transmitir, y diseñados para proteger” este aparato y todo lo relacionado con su uso. 

La necesidad de regulación del Internet de las Cosas viene de la mano de su propia importancia. Con 20.400 millones de dispositivos conectados previstos para 2020, el IoT es ya una de las grandes revoluciones tecnológicas de los últimos años. Las posibilidades que ofrece la conectividad se extienden a prácticamente todas las ramas de industria y servicios: conducción, sanidad, hogar, transporte, fabricación, gestión urbana o agricultura son solo algunos de los sectores en los que su presencia está definitivamente impuesta. La tecnología ha supuesto un antes y un después, facilitando una comunicación fluida y mejorando usos para los distintos actores participantes e incrementando la cantidad de información que las organizaciones en los extremos del proceso pueden recabar. 

Sin embargo, el periodo de inocencia del Internet de las Cosas ha pasado, ese momento de expansión en el que se ponderan sobre todo los beneficios, y se hace la vista gorda sobre los problemas —o, de hecho, ni se perciben—. Sociedad y empresa son ya conscientes de los problemas que pueden derivar de la debilidad de la red o de los elementos conectados y de las diferencias en el tratamiento de la información que se maneja. Aunque las voces que avisaban sobre los riesgos que involucraban ya se venían escuchando desde antes, el año 2016 fue una fecha clave en ese despertar, con la expansión del botnet Mirai. Este malware infectaba dispositivos conectados con bajos mecanismos de seguridad, especialmente cámaras de seguridad, DVRs y routers, que luego utilizaba en ataques DDoS. Mirai puso de relieve que tanto la propia red como todos los elementos conectados a ella son vulnerables, posibles puertas de entrada a daños a escala mundial. 

Aquí es donde entra el papel clave de la regulación. Gobiernos y administraciones han participado en el debate sobre cómo proteger dispositivos, redes y los datos que mueven, si bien su actuación raramente ha sido tajante o proactiva. En Estados Unidos, por ejemplo, previamente a la aprobación de la ley en California se habían dado algunos pasos. En 2015, la Federal Trade Commission había lanzado una serie de recomendaciones de buenas prácticas a las compañías, que incluían tanto la necesidad de que la seguridad fuese nativa en los dispositivos conectados, como el mantenimiento de unos estándares a lo largo de todo el uso de los mismos, incluyendo la capacitación del personal o la monitorización de los productos. En 2017 se proponía una ley, aún por aprobar, para garantizar que los elementos IoT empleados por agencias gubernamentales contaban con unos estándares mínimos de protección. 

La situación en Europa ha cambiado en lo referente a la información recabada por esos dispositivos en red por el GDPR. El Reglamento de Protección de Datos obliga a la organización que los trata y almacena a garantizar su seguridad, lo que cubre parte del proceso de IoT. Todavía está por comprobar si la futura regulación ePrivacy de la Unión Europea, una actualización de la normativa de 2002 que se espera que complemente al GDPR y que está en fase de discusión de borradores, extiende estas obligaciones a red y dispositivos.

Los casos europeos y estadounidense son paradigmáticos de lo que sucede en regulación de IoT en otras regiones y por países. Se reconocen las necesidades en seguridad y el papel que puede tener la normativa, pero las medidas para paliarlas son parciales —si es que se han tomado—. En vistas al crecimiento futuro de los dispositivos conectados y a la importancia que irán adquiriendo, sería necesario cuando menos un trabajo en firme de reflexión por parte de las administraciones. 



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios