Para los fabricantes, importadores, y minoristas de la industria eléctrica y electrónica, es importante asegurarse de que los productos no sean vulnerables a los ciberataques. A medida que aumenta el número y el tipo de ciberataques, los organismos reguladores también prestan más atención a esta cuestión.
Para muchas empresas, resultará estratégico empezar a abordar la cuestión ahora, cuando la industria y los organismos reguladores empiecen a cambiar. La ciberseguridad es una cuestión importante y creciente que, al parecer, será objeto de un control mucho más estricto.
La ciberseguridad ya es un tema reconocido en la industria eléctrica y electrónica. Ya existen requisitos normativos y muchos productos obvios, como los teléfonos celulares, se tratan con eficacia.
Sin embargo, aunque la ciberseguridad está bien controlada en algunos productos, no es una cuestión generalizada.
Algunos productos siguen siendo vulnerables a los ataques y parece que los organismos reguladores van a introducir cambios. La UE dice que la Ley de resiliencia cibernética “garantizará que los productos de hardware y software se comercialicen con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad durante todo el ciclo de vida de un producto”.
La ley pretende revisar el enfoque que tienen los fabricantes sobre la seguridad de los productos con elementos digitales y garantizar la existencia de un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los productores de hardware y software. El vicepresidente de la Comisión, Margaritis Schinas, declaró que la ley “resolverá un problema real e importante de nuestro marco jurídico”.
En estos momentos, los productos más propensos a sufrir ciberataques son los productos IoT (por sus siglas en inglés).
Hay dos razones principales por las que los productos IoT son tan propensos a los ataques. En parte, se debe a que ha habido un tremendo crecimiento en su uso. Sin embargo, también se debe a que los productos IoT a menudo no son lo suficientemente seguros. Cuestiones como la escasa seguridad de las contraseñas, la falta de cifrado, o los mecanismos de acceso ocultos pueden hacer que estos productos sean vulnerables a los ataques.
Las personas no suelen pensar demasiado en la seguridad de los dispositivos IoT. Puede tratarse de dispositivos como cámaras web, monitores de bebés, o electrodomésticos que se consideran sencillos y que la gente conecta a Internet sin pensar demasiado. Sin embargo, son vulnerables a los ataquess, y los piratas informáticos se afanan en intentar acceder a ellos.
Basta con echar un vistazo a los ciberataques del pasado para comprender lo grave que es la ciberseguridad.
Dos de los dispositivos que a la gente menos le gustaría que le piratearan, pero que ya han demostrado ser vulnerables, son las cámaras de seguridad (CCTV) y las cámaras web que utilizan las computadoras personales. Los piratas informáticos o hackers han conseguido acceder a las cámaras domésticas de la gente y publicar videos o imágenes en directo en Internet. En 2012, por ejemplo, se produjo un famoso hackeo en el que se piratearon un gran número de cámaras. Las imágenes en directo se publicaron entonces en Internet. Cualquier miembro del público podía acceder a las imágenes en directo de una cámara si obtenía su dirección IP.
En otro ejemplo, se descubrió que los piratas informáticos habían conseguido acceder a monitores de bebés. Incluso eran capaces de escuchar y hablar a través de los monitores. Una madre descubrió el problema cuando oyó a un hombre hablarle a su bebé a través de su propio monitor.
Se han atendido todas estas cuestiones, pero causan enormes problemas a las marcas cuando se producen.
El hackeo de dispositivos domésticos puede tener graves consecuencias, como la invasión de la intimidad, la adquisición de datos privados sensibles o incluso el robo financiero. Sin embargo, esto no acaba aquí. Con el creciente número de dispositivos médicos conectados y dispositivos IoMT, pueden estar en juego datos sanitarios personales o incluso vidas humanas.
En 2017, la FDA estadounidense retiró casi 500,000 marcapasos por temor a que las vulnerabilidades de ciberseguridad pudieran dar lugar a que los piratas informáticos accedieran a marcapasos que ya habían sido colocados en pacientes. La preocupación era que los piratas informáticos pudieran controlar los latidos del corazón de las personas o agotar las baterías. Ambas cosas podrían provocar la muerte. En este ejemplo, el fabricante se vio obligado a publicar una actualización del firmware para corregir el problema.
Otros dispositivos que pueden ser vulnerables a los ataques son los automóviles y los equipos industriales.
El potencial de los piratas informáticos para causar problemas a las empresas de la industria eléctrica y electrónica es enorme. Un ataque a una pequeña base de datos puede dar lugar únicamente a una petición de rescate de unos pocos cientos de dólares. Sin embargo, un ataque a dispositivos marcapasos probablemente recibiría la atención mundial.
Como en otras industrias, los diferentes actores de la industria eléctrica y electrónica tienen diferentes responsabilidades cuando se trata de proteger al público.
Los fabricantes deben fabricar productos seguros
Los importadores y minoristas solo deben importar productos que cumplan los requisitos de ciberseguridad más recientes y relevantes
Los proveedores de infraestructuras y plataformas deberían permitir únicamente productos certificados en ciberseguridad en sus redes
Aunque las responsabilidades generales son evidentes, no está claro dónde residen las responsabilidades legales. Sin embargo, los organismos reguladores están trabajando en la cuestión y parece que las cosas empezarán a cambiar en un futuro próximo. Tenga en cuenta que antes hemos mencionado que la UE ha propuesto introducir su Ley de resiliencia cibernética para las mercancías en la UE.
De hecho, tras el anuncio de esta propuesta de ley, algunos fabricantes ya han empezado a tomar medidas. Algunos fabricantes de productos IoT de consumo vendidos en la UE ya están empezando a seguir la norma ETSI EN 303 645 para cumplir con la legislación propuesta.
Los fabricantes, importadores, y minoristas deben empezar a examinar sus productos y asegurarse de que son ciberseguros. Puede que por el momento no sea obligatorio, pero parece que esto ocurrirá pronto. La cuestión de la ciberseguridad va a cobrar cada vez más importancia. Las medidas que las empresas adopten ahora ayudarán a desarrollar futuros sistemas para garantizar el cumplimiento de la ciberseguridad.
Tenga en cuenta que el vicepresidente de la Comisión Europea, Margaritis Schinas, afirmó que la Ley de Resiliencia Cibernética de la UE podría utilizarse como “punto de referencia internacional”, lo que sugiere que se empezará a introducir una legislación similar en todo el mundo.
En QIMA, con nuestros laboratorios internos y nuestra empresa hermana CCLab, ofrecemos servicios integrales de pruebas de laboratorio para garantizar que todos los productos eléctricos y electrónicos sean seguros. Nuestro equipo de expertos puede diseñar programas de cumplimiento personalizados para sus productos y mercados específicos que pueden incluir:
Evaluación de riesgos y evaluaciones de diseño
Evaluación y pruebas de ciberseguridad
Pruebas de cumplimiento normativo
Pruebas químicas y analíticas
Pruebas físicas y mecánicas
Pruebas de rendimiento y fiabilidad
Asistencia en requisitos de etiquetado
¡Contáctenos hoy mismo para saber más!
Related Articles