Carlos B Fernández. Uno de los desarrollos tecnológicos más disruptivos que están comenzando a llegar a nuestras vidas cotidianas es la internet de las cosas (IoT por su abreviatura en inglés): el conjunto de objetos físicos capaces de recoger, enviar o recibir datos a través de una conexión a través de internet.
Dado que la IoT permite la captura de múltiples datos relativos o relacionados con los usuarios de los objetos conectados, desde el principio se han planteado serias dudas y recelos en relación con la seguridad de estos dispositivos, tanto respecto a la posibilidad de acceso y uso indebido a los mismos como de la sustracción de la información que gestionan.
La creciente importancia y presencia de estos dispositivos ha provocado que la Unión Europea esté trabajando en la definición de un marco legal para la IoT en el ámbito de su proyecto de Mercado Único Digital. Pero mientras tanto, los Estados Unidos ya han dado los primeros pasos para establecer una regulación de la seguridad exigible a estos dispositivos.
A comienzos de este mes de agosto un grupo de senadores norteamericanos, tanto demócratas como republicanos, ha presentado una propuesta de ley destinada a establecer unos estándares mínimos de seguridad para los objetos conectados a Internet que adquieran las agencias federales (Internet of Things Cibersecurity Improvement Act 2017).
Dado que se trata de una iniciativa conjunta de representantes de los dos grandes partidos estadounidenses las probabilidades de que esta propuesta se transforme en ley son muy elevadas. Y, como parece previsible, el alcance potencial de esta propuesta va más allá del ámbito público al que va dirigido y del propio marco nacional.

El concepto de objeto conectado a internet

La sección 2.ª de la propuesta incluye un apartado de "Definiciones", entre las que se encuentra la de "Objeto conectado a internet" (Internet-connected device), que se caracteriza por ser una objeto físico: a) capaz de conectarse a internet y que se mantiene en conexión regular con la misma y, b) que dispone de capacidad de proceso para recoger, enviar o recibir datos.
Como se aprecia, se trata de un concepto muy amplio y que permite incluir una enorme variedad de objetos. Como señala Ariel Rabkin en la web del American Enterprise Institute , prácticamente cualquier ordenador portátil, tableta o teléfono inteligente convencional encaja sin dificultad en esta definición de forma que, aunque la ley se orienta a regular un aspecto de la IoT, en la práctica se podría aplicar a todos los dispositivos con acceso a Internet sean de tipo que sean.
Por ello este analista sugiere que se debería exonerar explícitamente de esta definición a los "ordenadores de uso general, tablets y teléfonos", so pena de llegar muy lejos en el ámbito de aplicación de la norma.
Pero incluso sin esa limitación, la norma sin duda va a tener un gran impacto en la actividad de los fabricantes de productos capaces de conectarse a a Internet. Como destaca Derek Weeks en Dzone.com , mientras que en la actualidad estos fabricantes deciden invertir en seguridad cibernética según un criterio de coste-beneficio, con esta norma pasan a ser en última instancia responsables de la seguridad de sus datos y sistemas.

Requisitos a la hora de adquirir objetos conectados a la IoT

El proyecto de ley se orienta a proteger la seguridad de los dispositivos conectados (IoT) de las agencias ejecutivas federales de los Estados Unidos. Para ello impone a dichas agencias incluir determinadas cláusulas específicas en sus contratos para la adquisición estos dispositivos.
Según explican Jennifer Martin, Catlin Meade y Weiss Nusraty en la web insidegovernmentcontracts.com , la ley requerirá que cada agencia incluya las siguientes cláusulas clave en sus futuros contratos para la adquisición de dispositivos conectados a Internet ".

a) Certificación escrita del contratista de que sus dispositivos:
- No contienen componentes con vulnerabilidades o defectos de seguridad conocidos incluidos en la Base de Datos Nacional de Vulnerabilidad del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) o en una base de datos similar identificada por el Director de la Oficina presupuestaria federal (Office of Management and Budget, OMB);
- Incluyen componentes capaces de recibir parches "correctamente autenticados y de confianza" de los proveedores;
- Utilizan tecnología y componentes estándar para la comunicación, encriptación e interconexión con dispositivos periféricos; y
- No incluyen "contraseñas fijas o codificadas" para recibir actualizaciones o habilitar el acceso remoto.
b) Compromiso del contratista de notificar a la agencia adquirente cualquier "vulnerabilidad o defecto de seguridad descubierto por el propio contratista o revelado con posterioridad al vendedor por un investigador de seguridad, durante la vida del contratol.
c) Compromiso del contratista de actualizar, reemplazar o eliminar oportunamente, las vulnerabilidades identificadas de los componentes de software y firmware del dispositivo de una manera debidamente autenticada y segura.
Esto incluye la obligación de proporcionar información a la agencia adquirente con respecto a la forma de tales actualizaciones, así como un cronograma y un aviso formal al finalizar el soporte de seguridad.
La propuesta incluye varias excepciones a este clausulado. Así, los contratistas podrán presentar una solicitud de exención de determinados requisitos si revelan vulnerabilidades conocidas en dispositivos IoT ya vendidos al gobierno.
Igualmente las agencias ejecutivas pueden solicitar una exención si la adquisición de dispositivos IoT de acuerdo con esas cláusulas de certificación de contrato resultase "inviable o económicamente poco práctica".
El estatuto propuesto también permite a las agencias ejecutivas adquirir dispositivos IoT compatibles con otras normas de seguridad existentes. En concreto, las agencias ejecutivas estarían autorizadas a comprar dispositivos que cumplan con normas de seguridad establecidas por un tercero o por la agencia federal de compras si las mismas proporcionan un nivel de seguridad equivalente o mayor que los prescritos por las cláusulas contractuales requeridas por la ley. Para estos propósitos, NIST desarrollaría estándares de acreditación de terceros y aseguraría que las normas existentes de una agencia provean protecciones de seguridad apropiadas.

Divulgación de vulnerabilidades y defectos de seguridad de dispositivos IoT

La norma propuesta requiere que la Dirección Nacional de Protección y Programas del Departamento de Seguridad Nacional (Department of Homeland Security, DHS) emita unas directrices sobre los "requisitos de divulgación coordinados de seguridad cibernética" (cybersecurity coordinated disclosure requirements) que los contratistas deberán cumplir si venden dispositivos de IoT al gobierno.
Estas directrices describirán:
- Las políticas y procedimientos de investigación relativos a la seguridad de un dispositivo IoT basado en la Norma ISO 29147 de la Organización Internacional de Normalización o cualquier norma comparable; y
- los requisitos para investigar y probar la seguridad de un dispositivo IoT, incluyendo una provisión de que la misma clase, modelo y tipo de dispositivo sean usados para propósitos de investigación y pruebas.

Inventario de dispositivos IoT

El proyecto de ley prevé que cada agencia ejecutiva federal elabore un inventario de dispositivos conectados a Internet dentro de los 180 días siguientes a su aprobación.
Así mismo también requiere que el Director de la OMB elabore una base de datos de acceso público que recoja a los fabricantes y dispositivos IoT a los que se les otorgan protecciones de responsabilidad así como de los fabricantes que han notificado formalmente al gobierno que han finalizado los servicios de soporte para un dispositivo en particular.