La Comisión Federal de Comunicaciones (“Federal Communications Commission”, FCC por sus siglas en inglés) ha lanzado este mes un nuevo programa voluntario de etiquetado de ciberseguridad para productos “inteligentes” del Internet de las Cosas (“Internet of Things”, IoT por sus siglas en inglés).
Según la FCC, el programa incentivará a las empresas a vender productos que cumplan normas estrictas de ciberseguridad, al tiempo que ayudará a los consumidores a tomar decisiones de compra con conocimiento de causa.
Pero según Odette Wilkens, abogada especializada en tecnología, el programa puede dar a los consumidores una falsa sensación de ciberseguridad. Esto se debe, según Wilkens, a que “el peligro para la ciberseguridad puede no estar en los productos, sino en la señal que utilizan los servicios inalámbricos que pueden ser pirateados”.
En virtud del programa de la FCC, los productos inalámbricos IoT -como cámaras de seguridad doméstica, dispositivos de compra activados por voz, rastreadores de fitness y monitores de bebés- llevarán un logotipo “U.S. Cyber Trust Mark” en su embalaje si cumplen los “sólidos estándares de ciberseguridad” de la FCC.”
El logotipo irá acompañado de un código QR que los consumidores podrán escanear para obtener información sobre la seguridad del producto, como el periodo de asistencia del producto y si este cuenta con actualizaciones automáticas de seguridad.
Wilkens, que también es presidenta y consejera general de la organización sin ánimo de lucro “Wired Broadband Inc”, que aboga por una Internet de alta velocidad conectada por cable, dijo que la FCC no debería limitarse a poner una etiqueta de ciberseguridad en los productos, sino que también debería etiquetar los servicios inalámbricos.
“De lo contrario”, añadió Wilkens, “se engañará al consumidor haciéndole creer que una etiqueta de ciberseguridad en el producto significa que los servicios inalámbricos activados a través de esos productos que llevan sus datos personales también son seguros, cuando pueden no serlo.”
Esto es especialmente cierto ahora que está en marcha el despliegue de la 5G, dijo Wilkens. Se refirió a un informe de 2022 del que es coautor el ex presidente de la FCC, Tom Wheeler, quien acuñó el término “la ciberparadoja de la 5G“, que significa que cuanto más eficiente es la 5G, menos segura es.
“La 5G es más pirateable debido a los miles de nodos 5G que se están instalando, lo que aumenta la superficie de acceso para los piratas informáticos”, afirma Wilkens. “Está basado en software: un pirata informático que accede a un nodo puede acceder a todo el sistema. 4G y 3G son sistemas basados en hardware, lo que facilita poner en cuarentena una brecha de seguridad”.
Seguridad y privacidad “no son lo mismo”
Miriam Eckenfels-García, directora del programa de Radiación Electromagnética (REM) e Inalámbrica de CHD, comparte la preocupación de Wilkens de que el programa pueda dar a la gente una falsa sensación de seguridad.
“Esa sensación de seguridad llevará probablemente a la gente a utilizar más productos inalámbricos, lo que significa más radiación inalámbrica nociva en nuestro entorno y más pérdida de privacidad“, declaró a “The Defender”.
“El programa de la FCC hace muy poco por proteger la intimidad de las personas”, dijo Eckenfels-García. “No prohíbe a las empresas de productos inalámbricos recopilar y compartir ampliamente los datos de los consumidores”.
Un experto en materia de privacidad de datos y ciberseguridad que pidió permanecer en el anonimato declaró a “The Defender” algo parecido.
El experto, que ha trabajado como consultor para empresas de la lista Fortune 500 durante las dos últimas décadas y ha formado parte del grupo de trabajo sobre privacidad de datos de la Instituto Nacional de Normas y Tecnología (“National Institute of Standards and Technology”, NIST por sus siglas en inglés) – dijo que es “obvio” que la FCC necesita establecer normas básicas de ciberseguridad para los productos.
“Pero el programa no aborda las cuestiones cruciales de la privacidad de los datos y las personas explotadas a través de dispositivos IoT arriesgados que tienen prácticas promiscuas de intercambio de datos”, dijo el experto.
Aunque la FCC era claramente consciente de que a los consumidores les preocupan ambas cosas, su nuevo programa no incluye salvaguardias de privacidad, dijo. “Así que tu altavoz inteligente te sigue escuchando, tus luces inteligentes saben que vas y vienes”.
La seguridad y la privacidad no son lo mismo, dijo. En una cárcel, por ejemplo, tienes seguridad pero no privacidad. “Los barrotes permiten que todo el mundo te vigile”.
“Los consumidores seguirán sometidos a vigilancia cuando utilicen dispositivos IoT”
Como base de su programa de etiquetado, la FCC adoptó 10 de los criterios de ciberseguridad del NIST.
En su informe de 126 páginas sobre el programa de etiquetado, la FCC detalla los 10 criterios que utilizará para evaluar si un producto puede o no llevar su logotipo de ciberseguridad:
(1) Identificación de activos: El producto puede ser identificado unívocamente por el cliente y otras entidades autorizadas y el producto identifica unívocamente cada componente del producto IoT y mantiene un inventario actualizado de los componentes del producto conectados. …
(2) Configuración del producto: La configuración del producto IoT es modificable, con capacidad para restaurar una configuración predeterminada segura, y los cambios sólo pueden ser realizados por personas, servicios y otros componentes del producto IoT autorizados. …
(3) Protección de datos: El producto IoT protege los datos almacenados en todos los componentes del producto IoT y transmitidos tanto entre los componentes del producto IoT como fuera del producto IoT contra el acceso, la divulgación y la modificación no autorizados. …
(4) Control de acceso a interfaces: El producto IoT restringe el acceso lógico a las interfaces locales y de red -y a los protocolos y servicios utilizados por dichas interfaces- únicamente a las personas, servicios y componentes del producto IoT autorizados. …
(5) Actualización de software: El software de todos los componentes del producto IoT sólo puede ser actualizado por personas, servicios y otros componentes del producto IoT autorizados mediante un mecanismo seguro y configurable, según proceda para cada componente del producto IoT. …
(6) Conocimiento del estado de la ciberseguridad: El producto IoT admite la detección de incidentes de ciberseguridad que afecten o se vean afectados por los componentes del producto IoT y los datos que almacenan y transmiten. …
(7) Documentación: El desarrollador de productos IoT crea, recopila y almacena información relevante para la ciberseguridad del producto IoT y sus componentes antes de la compra por parte del cliente, y durante todo el desarrollo de un producto y su posterior ciclo de vida. …
(8) Recepción de información y consultas: El desarrollador de productos IoT tiene la capacidad de recibir información relevante para la ciberseguridad y responder a las consultas del cliente y otros sobre información relevante para la ciberseguridad. …
(9) Difusión de información: El desarrollador del producto IoT difunde (por ejemplo, al público) y distribuye (por ejemplo, al cliente o a otros en el ecosistema del producto IoT) información relevante para la ciberseguridad. …
(10) Educación y concienciación del producto: El desarrollador del producto IoT crea conciencia y educa a los clientes y a otros en el ecosistema del producto IoT sobre la información relacionada con la ciberseguridad (por ejemplo, consideraciones, características) relacionadas con el producto IoT y sus componentes del producto.
Según Eckenfels-García, “no se puede confiar en el NIST. Siempre se asegurarán de que se mantengan los vínculos de puerta trasera con el Estado de Inteligencia”.
Esto significa que los consumidores seguirán estando sometidos a vigilancia cuando utilicen dispositivos IoT, añadió.
La FCC no permite que los países “adversarios extranjeros” -definidos como China (incluido Hong Kong), Cuba, Irán, Corea del Norte, Rusia y el Régimen de Maduro- participen en la administración o las pruebas del programa.
Sin embargo, no prohíbe a la alianza de inteligencia Five Eyes de países de habla inglesa -incluidos Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda- vigilar los datos recogidos a través de dispositivos IoT, señaló Eckenfels-García.
“Así que lo que capte tu vigilabebés IoT podría ser redirigido a Five Eyes, en lugar de al Ministerio de Seguridad del Estado de Pekín”.
EPIC: ¿Por qué no limitar la cantidad de datos recogidos?
La FCC no incluyó en el programa un requisito de minimización de datos, a pesar de que el “Electonic Privacy Information Center” (EPIC) aconsejó hacerlo, dijo el experto que prefirió permanecer en el anonimato.
La minimización de datos se refiere a la práctica de que los datos sólo se “recopilan, utilizan o divulgan en la medida razonablemente necesaria para prestar el servicio solicitado por un consumidor”, según EPIC.
En noviembre de 2023, la organización sin ánimo de lucro dedicada a la investigación y la defensa de los derechos envió sus comentarios a la FCC instando a la agencia a que incluyera estas prácticas de privacidad de datos en su programa de etiquetado de ciberseguridad.
Recopilar menos datos ayuda a mantener la ciberseguridad, según EPIC. “Una empresa no necesita proteger datos que no recoge”.
“En última instancia”, añadió EPIC, “el consumidor está más seguro si las empresas no recopilan más datos de los que realmente necesitan para que el dispositivo funcione para sus fines declarados.”
Sin embargo, la FCC decidió no incluir un requisito de minimización de datos. La comisión no respondió inmediatamente cuando “The Defender” le pidió explicaciones.