¿Está preparado para la nueva ley de seguridad de IoT del Reino Unido?

Por Phil Muncaster • 23 de enero de 2024

El mercado británico de tecnologías conectadas lleva años inundado de kits inseguros. Esas son malas noticias para los consumidores y las empresas, ya que los dispositivos comprometidos pueden usarse para lanzar ataques contra ambos, al tiempo que socavan la confianza del mercado en las nuevas tecnologías. Ahora que el británico medio accede más de nueve dispositivos conectados, el gobierno ha introducido tardíamente legislación para mejorar los estándares básicos de seguridad. Entró en vigor en diciembre de 2023.

Aunque no es perfecto, el Ley de infraestructura de telecomunicaciones y seguridad de productos (PSTI) de 2022 promete ser el comienzo de un régimen de cumplimiento más riguroso para los fabricantes, distribuidores e importadores de productos inteligentes.

¿Por qué necesitamos la Ley PSTI?

El riesgo de IoT no comenzó con mirai, pero fue la primera gran amenaza que puso al descubierto las vulnerabilidades inherentes a las tecnologías conectadas. Los actores de amenazas utilizaron el malware del mismo nombre para buscar dispositivos IoT conectados que todavía usaban el nombre de usuario y la contraseña predeterminados con los que salieron de fábrica. Luego iniciaría sesión en ellos para secuestrar de forma remota los puntos finales y crear una botnet para DDoS, fraude de clics, campañas de spam y otras amenazas.

Otro problema común en los kits de IoT tanto corporativos como de consumo son las vulnerabilidades en el propio firmware, que podrían ser explotadas por actores de amenazas. Un estudio reciente de la IoT Security Foundation (IoTSF) encontrado que Sólo el 27% de los 332 fabricantes de IoT evaluados ejecutan programas de divulgación de vulnerabilidades. Los productos afectados podrían variar desde enrutadores de red hasta dispositivos médicos y DVR hasta monitores para bebés.

¿Qué contiene la Ley PSTI?

Aquí es donde entra en juego la Ley PSTI. En realidad, son dos leyes en una, pero lo que nos interesa es la primera mitad, sobre “seguridad del producto”. El objetivo es simple: hacer que la IoT esté a la altura del consumidor. Los kits vendidos en el Reino Unido son más seguros de forma predeterminada. Exige que los fabricantes, distribuidores e importadores sigan reglas estrictas sobre los productos de IoT. La inclusión de estas dos últimas entidades tiene como objetivo garantizar que las organizaciones no puedan simplemente eludir las reglas importando productos inseguros desde fuera del país.

Entonces, ¿qué exige? Sobre la base del estándar ETSI EN 303 645 (5.1 a 5.3) y, para los informes de seguridad, ISO/IEC 29147, existen tres elementos clave:

Contraseñas

Debe ser único para cada producto o definido por el usuario. Las contraseñas determinadas de fábrica no deben ser fáciles de adivinar o enumerar.

Divulgación de vulnerabilidad:

Debe haber al menos un punto de contacto en el fabricante/distribuidor/importador, y cuando reciben un informe de seguridad, deben acusarlo y enviar actualizaciones hasta que se logre una resolución.

Periodo mínimo de actualización de seguridad:

La información debe publicarse en el período de actualización. No hay un mínimo establecido, sólo que debe publicarse. También dice que el plazo no se puede acortar, pero sí ampliar.

El director general de IoTSF, John Moor, le dice a ISMS.online que estos requisitos son en parte técnicos y en parte basados en procesos.

“Los fabricantes necesitarán diseñar productos que tengan contraseñas únicas y seguras listas para usar, y los usuarios deberían poder cambiarlas. Esto tiene implicaciones claras sobre cómo se diseñan los productos. El segundo requisito es un intento de garantizar que se mantenga la seguridad: que las vulnerabilidades conocidas puedan corregirse en el campo o, en situaciones extremas, recuperarse. Esto significa que todas las empresas deben tener un proceso mediante el cual 'investigadores' o personas no profesionales puedan contactar al proveedor e informar problemas de seguridad”, añade.

“El tercer requisito es informar al consumidor sobre lo que se puede esperar en términos de mantenimiento de la seguridad; esto también tiene implicaciones para la fase de diseño: ¿cómo se habilitarán las actualizaciones de seguridad? ¿Cuál es el proceso para las actualizaciones masivas?

Las organizaciones que incumplan la ley pueden recibir una multa de hasta 10 millones de libras esterlinas o el 4% de sus ingresos anuales globales, lo que sea mayor. La Ley PSTI también otorga al Secretario de Estado el poder de emitir avisos de detención y retirada de vehículos.

¿Cómo coincide con el régimen europeo?

El régimen equivalente en la UE es el Ley de Resiliencia Cibernética (CRA), que todavía se está abriendo camino en las instituciones legislativas del bloque. Parece establecer un listón más alto Cuando se trata de seguridad de IoT, los productos de IoT obligatorios se producen con una configuración segura por defecto, sin vulnerabilidades explotables y cuentan con mecanismos de autenticación apropiados, así como cifrado de datos, si es relevante. También se requerirán evaluaciones de riesgo y conformidad mientras no se encuentren en el Reino Unido.

Para aquellas organizaciones que operan en el Reino Unido y la UE, el cumplimiento no debería ser difícil siempre y cuando se ciñan al régimen más riguroso de la UE.

“Afortunadamente, ha habido un diálogo continuo con las autoridades del Reino Unido y sus respectivas contrapartes en la UE. Hasta donde sabemos, las empresas podrán alinear los requisitos del Reino Unido y la UE sin gastos generales significativos”, afirma Moor.

“El Anexo 4 establece la cantidad mínima de información que debe declararse en una declaración de cumplimiento. Los fabricantes deberán proporcionar una cantidad mínima de información en su declaración de cumplimiento y una firma para oficializar la declaración de cumplimiento. Se deberá conservar una copia de la declaración durante al menos 10 años”.

La Ley PSTI del Reino Unido entrará en vigor en abril de 2024, mientras que la CRA probablemente no entrará en vigor hasta finales de 2025, lo que significa que los fabricantes e importadores tienen más tiempo para prepararse, le dice a ISMS.online el consultor principal de Bridewell, Alan Blackwell.

¿Llega lo suficientemente lejos?

Todavía hay cierto debate sobre si la Ley PSTI es una oportunidad perdida para introducir un estándar más alto para la seguridad de IoT. Blackwell explica que se basa tanto en ETSI EN 303 645 como en un Código de prácticas del Reino Unido para la seguridad de IoT del consumidor, que se publicó en 2018.

“Pero sólo los tres principales requisitos [ETSI], de un total de 13, han llegado a la primera versión de la normativa. Por ejemplo, una de las omisiones actuales es la necesidad de brindar comunicaciones seguras a través de Internet”, añade. "Con el tiempo, esperamos que la ley se base en los tres requisitos iniciales para incluir algunos más del Código de prácticas del Reino Unido y el ETSI".

Moor, de la IoTSF, está de acuerdo y describe la ley como un “primer paso necesario” que proporcionará una base sobre la que construir.

“La regulación es un delicado acto de equilibrio entre lograr los objetivos declarados y evitar consecuencias no deseadas; en este caso, no sofocar la innovación”, argumenta. "El enfoque que ha adoptado el gobierno del Reino Unido es sensato: establece un nivel mínimo de requisitos y los evolucionará con el tiempo según sea necesario".

Blackwell, de Bridewell, afirma que la aplicación de la ley determinará en última instancia su eficacia para mejorar la seguridad básica en la industria.

“Esperamos que la regulación comience con un toque ligero mientras los fabricantes, distribuidores e importadores se clasifican. Pero tradicionalmente, con este tipo de regulaciones de ciberseguridad, vemos que las medidas de cumplimiento por parte del regulador comienzan a aumentar después de unos años”, concluye.

Aún así, con la Ley PSTI ahora en vigor, las organizaciones no deberían perder tiempo en realizar los cambios técnicos y de procesos apropiados necesarios para cumplir.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster