Comisión Federal de Comunicaciones
El objetivo de la nueva marca de confianza cibernética de EE. UU., que llegará voluntariamente a los dispositivos de Internet de las cosas (IoT) a fines de 2024, es evitar que las personas tengan que realizar una investigación profunda antes de comprar un termostato, un controlador de rociadores o un monitor para bebés.
Si ve un escudo con un microchip de cierto color, sabrá algo comparándolo con otros escudos. Aún no se ha decidido qué significará exactamente ese escudo. El informe relacionado del Instituto Nacional de Estándares y Tecnología sugiere que implicará transmisión y almacenamiento encriptados, actualizaciones de software y cuánto control tiene un comprador sobre las contraseñas y la retención de datos. Pero lo único realmente nuevo desde el anuncio de la iniciativa en octubre de 2022 es el aspecto de la etiqueta, un cronograma un poco más firme y más reuniones de comentarios y debates a continuación.
Por el momento, la Marca existe como un Aviso de Reglamentación Propuesta (NPRM) en la Comisión Federal de Comunicaciones. La FCC quiere escuchar a las partes interesadas sobre el alcance de los dispositivos que se pueden etiquetar y qué entidad debe supervisar el programa, verificar los estándares y manejar la educación del consumidor.
Los enrutadores de grado de consumo, según la Casa Blanca, son el objetivo prioritario, y se espera que el trabajo finalice en su evaluación para fines de 2023. El Departamento de Energía tiene la intención de desarrollar etiquetas para medidores inteligentes e inversores de energía.
Vectores de maquina expendedora
El movimiento para implementar un estándar es lento y vago, pero el problema para los dispositivos IoT es real. El comunicado de la FCC cita «una estimación de un tercero» (aparentemente Kaspersky) de más de 1.500 millones de ataques contra dispositivos IoT en los primeros seis meses de 2021. Y los dispositivos IoT están en todas partes: la FCC señala la estimación del grupo de investigación Transforma de más de 25 mil millones de dispositivos IoT conectados que operan en todo el mundo para 2030.
Cuando los dispositivos conectados son tan comunes y ubicuos, se vuelven fáciles de pasar por alto. La presidenta de la FCC, Jessica Rosenworcel, citó un ejemplo de ello contado por primera vez por la autora de delitos cibernéticos Misha Glenny en sus comentarios el martes. Un banco, fuertemente fortalecido en su cuenta, transferencia y otra seguridad cibernética, finalmente fue penetrado. El vector no era un servidor, una computadora o incluso un ser humano falible. Era una máquina expendedora, a la que se le había dado su propia dirección IP y no estaba actualizada contra amenazas comunes.
Implementar el estándar «no es una tarea pequeña», dijo Rosenworcel en el anuncio del programa. «Porque el futuro de los dispositivos inteligentes es grande. Y aún más grande es la oportunidad que tenemos de garantizar que todos los consumidores, empresas y bancos con una máquina expendedora puedan tomar decisiones inteligentes sobre los dispositivos conectados que usan. Así que vamos a hacerlo. «
¿Qué cuenta como «seguro»?
Aún no está claro qué significa un escudo «Aqua» en una cámara de seguridad doméstica en comparación con un escudo negro, verde, rojo o blanco sobre negro. Cada escudo vendrá con un código QR que lo acompaña, donde un cliente puede ver los detalles de cómo ese dispositivo ganó su tono de escudo particular.
Muchas etiquetas han llegado a definir la experiencia de comparación de compras: UL, EnergyStar, JD Power y similares. Pero los dispositivos IoT presentan un escenario más complicado para una etiqueta de escudo con un sombreado distintivo en una caja (o página de producto de comercio electrónico). Solo algunas de esas complicaciones, algunas planteadas por los mismos proponentes, son:
- Dispositivos que contienen múltiples dispositivos IoT interconectados dentro de sí mismos, como enrutadores
- Cómo calificar las otras partes de un dispositivo IoT: su servidor en la nube, aplicaciones para teléfonos inteligentes, software de código abierto utilizado para construirlo
- Productos que se actualizan con características completamente nuevas y cambios de seguridad, que la «caja» ya no puede reflejar
- Nuevas vulnerabilidades que exponen dispositivos que antes se consideraban seguros a una exposición grave
- Estándares diferentes sobre lo que cuenta como seguro para dispositivos con cámaras o sensores versus un refrigerador con una pantalla inteligente o un sensor climático.
- Cómo la privacidad de datos cuenta o no para la «seguridad»
- Si el compromiso declarado de una empresa con las actualizaciones juega en una calificación
CyLab de la Universidad Carnegie Mellon, uno de los grupos clave consultados por la FCC y la Casa Blanca, está presionando para obtener más información en cajas de productos y páginas sobre recopilación de datos, en lugar de descargarlo todo en un escáner de teléfono. «Nuestra investigación más reciente muestra que si bien acceder a esta información a través de un código QR puede ser útil, los consumidores prefieren tener información importante de seguridad y privacidad disponible en el empaque del producto».
Amazon, Best Buy, LG, Samsung, Google y otras empresas han expresado su apoyo a la iniciativa, al igual que el grupo industrial Consumer Technology Association. Como señaló Geoffrey Fowler de The Washington Post, Apple es una ausencia notoria. Plantea otra pregunta sobre la efectividad de una etiqueta si un proveedor notable se niega a participar.
Imagen de listado de la Comisión Federal de Comunicaciones