Se acercan las etiquetas de ciberseguridad. ¿Serán efectivos?

La administración de Joe Biden ha comenzado a trabajar en un programa de certificación de ciberseguridad para dispositivos y aparatos en línea que puedan ser vulnerables a hackeos u otros ciberataques invasivos.

Básicamente, los consumidores pueden pensar en esta marca Cyber ​​Trust Mark de EE. UU. como algo parecido a una etiqueta nutricional, pero en este caso les indica si sus parlantes inteligentes, monitores para bebés o rastreadores de actividad física son seguros.

Lily Jamali de Marketplace habló con Stacey Higginbotham, fundadora y editora del boletín Internet of Things, sobre por qué lanzar el programa pronto es vital para fortalecer la ciberseguridad nacional.

La siguiente es una transcripción editada de su conversación.

Stacey Higginbotham: Hay dos razones por las que necesitamos esto. Una es que cada vez más productos que compren los consumidores estarán conectados a Internet. Necesitamos asegurarnos de que estas cosas estén seguras. Entonces, incluso si no aceptas el ecosistema de Amazon Echo o Google Home o nada de eso, aún obtienes productos conectados en tu vida, te guste o no. La razón número 2 es que la seguridad no sólo es importante para, por ejemplo, evitar que botnets gigantes eliminen sitios web importantes. También es importante para usted como consumidor porque no quiere que nadie piratee su red. Un problema menor podría ser, por ejemplo, si alguien intenta acceder a su termostato y lo retiene como parte de un ataque de ransomware. Probablemente no estaría a tu alrededor como individuo. Pero alguien podría ir tras todos los termostatos Nest [Google] que hay y decir, oye, los quitaremos a menos que todos nos paguen dinero, y no podrás controlar la temperatura en tu casa. Sería terrible. Otro problema es que estos productos inseguros pueden permitir que las personas espíen, por ejemplo, los micrófonos de su dispositivo o posiblemente accedan a las imágenes provenientes de su cámara de seguridad. La mayoría de la gente no quiere que eso suceda.

Lily Jamali: Entonces, parte de la razón por la que estamos hablando de esto ahora es porque la administración Biden tiene un plan para estas etiquetas en los dispositivos conectados al consumidor. Saber que un dispositivo ha superado ciertos criterios parece algo bueno para los consumidores. Pero me pregunto: ¿en qué cree usted que el programa, tal como lo ha presentado la administración, se queda corto?

Higginbotham: Hay un par de problemas. Una es que en realidad no conocemos las reglas que seguirá este programa, ¿verdad? Todavía no sabemos qué características de seguridad formarán parte de esta etiqueta. Segundo, la FCC, es decir, la Comisión Federal de Comunicaciones, es la agencia que estará a cargo de administrar este programa. Y tengo muchas preguntas sobre su capacidad para hacerlo. Cuando nos enteramos de esto en octubre, esperaba que la [Comisión Federal de Comercio] hiciera esto porque tienen mucha experiencia en este tipo de programas de etiquetado. Pero aparentemente la FCC levantó la mano. Y esa es la agencia involucrada.

Jamali:¿Y tenemos una idea de cuándo podemos esperar ver estas etiquetas aparecer en nuestras vidas en nuestros dispositivos?

Higginbotham: Entonces, el objetivo es lograr algún tipo de reglas para la etiqueta del enrutador para fines de este año y, con suerte, veremos algo allí a principios del próximo año. En cuanto a las etiquetas en todos los demás dispositivos, es decir, la actual Cyber ​​Trust Mark de EE. UU., esperamos que suceda tal vez en 2024. Pero creo que es un poco optimista.

Jamali:¿Qué sabemos sobre qué tipo de información aparecerá en estas etiquetas?

Higginbotham: Entonces están mirando una etiqueta doble. Uno es como la pegatina que dice: Esta es la marca Cyber ​​Trust Mark de EE. UU., ¿verdad? El segundo es un código QR que, si lo escaneas, obtendrás un nivel más profundo de información sobre, oye, ¿ha pasado esto un control de seguridad recientemente? Por ejemplo, cualquier dispositivo conectado, hay que recertificarlo constantemente porque en cualquier momento podría aparecer una vulnerabilidad y volverlo inseguro. Entonces, la FCC está considerando crear un programa en el que, básicamente, cada año hay que recertificarse para que la etiqueta de la caja quede obsoleta. Entonces el código QR te dirá, oye, está actualizado. Es bueno. También podría indicarle cosas como qué sensores hay en este dispositivo e información más detallada sobre las funciones de seguridad.

Jamali:Entonces, ¿tiene alguna inquietud sobre información que sería relevante pero que podría no aparecer en la etiqueta como se prevé en este momento?

Higginbotham: Me encanta este programa por lo que intenta hacer en materia de seguridad. Hay muchas cosas realmente buenas aquí, como que no hay contraseñas predeterminadas, lo que requiere actualizaciones inalámbricas en cualquier dispositivo conectado. Potencialmente existen reglas sobre cómo las empresas deben configurar programas de recompensas por errores y cómo manejar las vulnerabilidades. Pero no se trata de privacidad. Y eso es realmente frustrante para mí porque siento que la mayoría de los consumidores piensan sobre la seguridad y la privacidad más o menos de la misma manera. Ambos son importantes para ellos cuando compran un dispositivo conectado. Y este programa no se ocupa en absoluto de la privacidad.

Jamali:Bien, y eso es realmente una gran parte del telón de fondo aquí, que la privacidad de los datos es un problema persistente que prácticamente todavía no tiene regulación federal.

Higginbotham: Exactamente. Y para mí es más que frustrante porque tenemos a los estados promulgando todo tipo de regulaciones. California ha sido realmente innovadora aquí. Indiana tiene algo, está bien. El estado de Washington tiene una nueva regla de privacidad de datos de salud que creo que es realmente importante. Así que tenemos este mosaico fragmentado de reglas de privacidad. Pero esta es una buena oportunidad que podríamos haber aprovechado para decir, oye, aquí hay algunas cosas mínimas que debemos mostrar en un dispositivo conectado para que los consumidores al menos sepan lo que están comprando y qué tipo de información están regalando.

Jamali: Ahora bien, este es un programa voluntario. ¿Qué incentivos existen para que las empresas participen?

Higginbotham: Creo que el incentivo será simplemente que, oye, ya has gastado mucho dinero en proteger estos dispositivos. Así que ahora puedes mostrárselo al consumidor. También vamos a necesitar educación sobre esto. Entonces, así como hubo educación sobre la etiqueta Energy Star, vamos a tener que enseñar a los consumidores a decir, oye, busca la marca Cyber ​​Trust Mark de EE. UU. cuando compres un dispositivo conectado.

Jamali: ¿Y cree que los consumidores van a aceptar esto? ¿Se preocuparán tanto por esto como por las etiquetas nutricionales o, ya sabes, tendrán la misma aceptación que parece haber sido el caso con la etiqueta Energy Star?

Higginbotham: Ni siquiera sé si a los consumidores les importan las etiquetas nutricionales. Quiero decir, hay muchos datos que la gente no necesariamente lee. Creo que hay mucha gente que se preocupa por la seguridad de sus dispositivos conectados. Es una de las preguntas más comunes que recibo. Dicen, oye, estoy mirando este enchufe versus este enchufe. ¿Sabes cuál es más seguro? Probablemente se trate de consumidores incondicionales, no convencionales. Pero sí creo que a la gente le importará si les resulta fácil ver que algo es seguro, creo que elegirán eso.

Una gran razón por la que existe este programa, según Stacey Higginbotham, se remonta a un ciberataque conocido como el incidente de la botnet Mirai en 2016.

Fue entonces cuando los piratas informáticos lanzaron un ataque de “denegación de servicio distribuido” o DDoS con un programa de malware dirigido a dispositivos inteligentes conectados a Internet.

Y existen muchos productos inteligentes en el mercado. Un informe del sitio web IoT Analytics dice que en 2022 había más de 14 mil millones de ellos en todo el mundo.

Todos los días, el equipo de “Marketplace Tech” desmitifica la economía digital con historias que exploran más que solo las grandes tecnologías. Estamos comprometidos a cubrir temas que son importantes para usted y el mundo que nos rodea, profundizando en cómo la tecnología se cruza con el cambio climático, la desigualdad y la desinformación.

Como parte de una sala de redacción sin fines de lucro, contamos con oyentes como usted para mantener este servicio público gratuito y disponible para todos.

Apoye a “Marketplace Tech” en cualquier cantidad hoy y conviértase en socio de nuestra misión.