Un proyecto de ley presentado esta semana al Senado de Estados Unidos podría ser el primer paso hacia la fijación de la seguridad del Internet de las Cosas (IoT), al requerir que los fabricantes de dispositivos que quieran hacer negocios con el gobierno federal cumplan con los estándares básicos de seguridad.

El proyecto de ley obliga a que cualquier dispositivo conectado a Internet proporcionado por contratistas gubernamentales esté libre de vulnerabilidades de seguridad conocidas, pueda recibir actualizaciones regulares de software y utilice estándares actualizados de la industria de comunicaciones y cifrado.

Que estas modestas propuestas se vean como un cambio sísmico en el mercado de IoT da una idea de lo inseguros que son una gran cantidad de dispositivos IoT. Asegurarlos no es una tarea fácil. Estos no son puntos finales tradicionales que pueden ejecutar sus propias suites de seguridad, pues a menudo carecen de potencia de cálculo y se producen en un número tan grande de tipos y modelos que el enfoque estándar de seguridad no se aplica realmente.

Cuál es el propósito de la iniciativa

La idea detrás del proyecto de ley es usar el músculo del gobierno federal como un gigantesco cliente potencial para estimular una reevaluación de la forma en que los fabricantes de dispositivos conectados abordan el diseño del producto. Uno de los principales patrocinadores del proyecto de ley, el senador Mark Warner, dijo que el hecho de que muchos fabricantes vean la seguridad como una idea tardía es un fracaso del mercado.

“Aunque estoy tremendamente entusiasmado con la innovación y la productividad que los dispositivos de Internet de las cosas van a desencadenar, desde hace tiempo me preocupa que se vendan demasiados dispositivos conectados a Internet sin las salvaguardias y protecciones adecuadas”, aseguró en un comunicado.

Es difícil evitar la conclusión de que muchos fabricantes de dispositivos no están haciendo un esfuerzo serio para asegurar sus productos.

“La parte más frustrante es que los atacantes a menudo entran en estos dispositivos mediante la explotación de agujeros de seguridad muy básicos o configuraciones deficientes. Estos hacks cotidianos son evitables, pero su potencial de devastación generalizada es grande”, aseveró David Dufour, director senior de Ciberseguridad e Ingeniería de Webroot..

Seguridad primero

Hacer cambios a gran escala en el sector de IoT no ocurrirá de la noche a la mañana. Las empresas que fabrican dispositivos IoT son a menudo inexpertas en la fabricación de hardware conectado. Se trata de empresas que siempre han hecho otros productos, pero que ahora están construyendo la conectividad en ellos.

Finalmente, Danielle Jackson, directora de Seguridad de SecureAuth, señaló que la ley representa una importante encrucijada para la tecnología IoT.

Jon Gold, CIO EEUU