• Las actualizaciones de seguridad de IoT a menudo se descuidan, creando vulnerabilidades.
  • Estándares como SUIT y los esfuerzos regulatorios buscan mejorar la seguridad de IoT.
  • La cooperación entre consumidores y reguladores es crucial para una seguridad efectiva.

Introducción

Michael Richardsones el científico jefe de Sandelman Software Works, con más de 28 años de experiencia en consultoría de arquitectura de redes y sistemas. Su trabajo se centra en la arquitectura de seguridad como parte de la ingeniería integrada del rendimiento del sistema. También es miembro del IETF (Grupo de Trabajo de Ingeniería de Internet), donde copreside el grupo de trabajo de Enrutamiento sobre Redes de Baja Potencia y con Pérdidas (ROLL). Es activo en el ámbito de la seguridad, específicamente en IPsec, BTNS y varios grupos de trabajo de autenticación, y es autor de los RFC4025 y RFC4322.

En mi opinión, el mayor problema es que realmente no somos dueños de nuestros dispositivos.

Michael Richardson, científico jefe de Sandelman Software Works

Las actualizaciones de seguridad de IoT siguen siendo un punto débil

Muchos dispositivos de Internet de las Cosas (IoT)carecen de un mecanismo confiablepara las actualizaciones de seguridad, lo que constituye una vulnerabilidad importante. Michael Richardson, experto en estándares y seguridad de IoT, destacó que a pesar de la importancia de mantener el software actualizado, los fabricantes a menudo dudan en implementar actualizaciones automáticas debido a preocupaciones sobre la configuración del usuario y la estabilidad del dispositivo. Esta renuencia surge del temor a que los cambios de firmware puedan interrumpir la funcionalidad del dispositivo o incomodar a los usuarios, lo que genera insatisfacción en los consumidores. Como resultado, muchos dispositivos permanecen obsoletos y susceptibles a ciberataques.

Lea también: Sateliot amplía la constelación de satélites 5G NB-IoT

Richardson señaló estándares emergentes, como SUIT (Actualizaciones de Software para Internet de las Cosas) del IETF, que tienen como objetivo hacer que el proceso de actualización sea más confiable y reducir los riesgos asociados con el firmware obsoleto. SUIT proporciona un marco para entregar actualizaciones de software de manera segura, garantizando que los dispositivos estén protegidos contra vulnerabilidades conocidas. Al adoptar dichos estándares, los fabricantes pueden ayudar a garantizar que los dispositivos IoT sigan siendo funcionales y seguros durante toda su vida útil.

Lea también: RIPE 89 arranca en Praga: lo más destacado de los días 1-3

Sin embargo, la falta de conciencia de los consumidores agrava aún más el problema. Muchos usuarios no son conscientes de la necesidad de mantener sus dispositivos actualizados o carecen del conocimiento técnico para hacerlo. Esto crea una brecha que los ciberdelincuentes pueden explotar, lo que destaca la necesidad de que los fabricantes creen mecanismos de actualización fáciles de usar y eduquen a los consumidores sobre la importancia de la seguridad. La colaboración entre los organismos de normalización, los fabricantes y los usuarios es fundamental para establecer un ecosistema de seguridad de IoT más sólido.

Esfuerzos regulatorios e impacto

En varias regiones, los gobiernos están interviniendo para abordar los desafíos de seguridad de IoT. Por ejemplo, el Reino Unido ha ordenado que las actualizaciones deben estar disponibles durante un período de tiempo específico, obligando a los fabricantes a cumplir con los estándares básicos de seguridad. Esta regulación entró en vigor en abril de este año, exigiendo que todos los dispositivos IoT garanticen la disponibilidad de actualizaciones. Garantizar el soporte continuo de los dispositivos es crucial, especialmente porque a menudo se utilizan durante años después de su compra inicial.

De manera similar, California está considerando implementar una directiva similar, aunque su cronograma de aplicación sigue sin estar claro. El entorno regulatorio aún está evolucionando, pero Richardson cree que estos pasos van en la dirección correcta. Destacó que, si bien estos mandatos pueden conducir a un aumento de los residuos electrónicos, son necesarios para obligar a los fabricantes a mantener los estándares de seguridad. A pesar de este inconveniente, priorizar la seguridad del consumidor y la protección de datos vale la pena.

Estas regulaciones tienen como objetivo establecer un precedente para la industria. Al hacer cumplir estas medidas, los gobiernos envían un mensaje claro de que la seguridad no debe ser una ocurrencia tardía en el desarrollo de IoT. Esto puede conducir a un cambio en la forma en que los fabricantes abordan el diseño de productos, centrándose en incorporar la seguridad en el núcleo de sus dispositivos. Richardson también mencionó que estos esfuerzos serían efectivos solo si están respaldados por una aplicación estricta y sanciones por incumplimiento.

Equilibrar la privacidad y la seguridad del consumidor

Uno de los principales problemas que discutió Richardson es la monetización de los datos de los usuarios por parte de los fabricantes de IoT. Las empresas a menudo utilizan modelos de negocio basados en la vigilancia para generar ingresos recurrentes, lo que introduce riesgos adicionales de privacidad y seguridad. El uso de dispositivos conectados para recopilar y monetizar datos personales permite a las empresas subsidiar los costos de los dispositivos o generar ingresos continuos después de la venta. Sin embargo, este modelo de negocio a menudo entra en conflicto con el derecho a la privacidad de los usuarios.

Lea también: Explorando proyectos IoT: aplicaciones innovadoras y beneficios

Los consumidores deben decidir si están dispuestos a pagar una suscripción para mantener la seguridad del dispositivo o permitir que los fabricantes moneticen sus datos. Richardson enfatizó que la falta de transparencia complica la situación, ya que muchos consumidores desconocen cómo se utilizan sus datos. La introducción de modelos de suscripción para las actualizaciones de seguridad podría ofrecer una solución, pero impone cargas financieras adicionales a los consumidores, lo que plantea dudas sobre la accesibilidad de los dispositivos IoT seguros.

Lea también: Soluciones IoT: transformando industrias y mejorando vidas

Richardson destacó la importancia de la verdadera propiedad del dispositivo y el derecho a reparar. Cuando los consumidores tienen derecho a reparar sus dispositivos, pueden asegurarse de que sus dispositivos sigan funcionando sin depender completamente del fabricante. Este enfoque empodera a los consumidores, alinea sus intereses con los de los fabricantes y, en última instancia, mejora laseguridad de IoT. La verdadera propiedad también permite a los consumidores tomar decisiones sobre la configuración de privacidad de sus dispositivos, reduciendo su dependencia de los fabricantes para las actualizaciones y limitando las oportunidades de monetización de datos.

Reflexiones finales

La entrevista concluyó con una discusión sobre el futuro de la seguridad de IoT. Richardson señaló que las medidas regulatorias, los estándares mejorados y la educación de los usuarios son componentes necesarios para abordar eficazmente las vulnerabilidades de seguridad de IoT. Reiteró que se requeriría el esfuerzo colaborativo de las partes interesadas —incluidos gobiernos, fabricantes y consumidores— para crear un panorama de IoT más seguro. Las medidas regulatorias responsabilizan a los fabricantes, mientras que los estándares proporcionan una base para las actualizaciones seguras y la gestión de dispositivos.

Richardson también discutió el papel de la educación en el fomento de una base de consumidores conscientes de la seguridad. Muchos usuarios desconocen las amenazas potenciales que plantean las vulnerabilidades no parcheadas en sus dispositivos IoT. Al crear conciencia y proporcionar orientación clara, los fabricantes y los reguladores pueden ayudar a cerrar esta brecha de conocimiento. La educación de los usuarios es esencial para reducir los riesgos de seguridad, ya que los consumidores informados son más propensos a tomar medidas proactivas para proteger sus dispositivos.