Los hechos sobre los módulos IoT y cómo se utilizan en el diseño de dispositivos y se despliegan en el mercado. Quectel refuta las preocupaciones que se están planteando sobre la seguridad de sus módulos.
Quectel Wireless Solutions, proveedor global de soluciones IoT, ha comentado la reciente carta y respuesta publicadas por la FCC y el Comité Selecto del Congreso de EE.UU. cuestionando si los módulos IoT de Quectel representan un riesgo potencial para la seguridad.
"Damos la bienvenida a la oportunidad de trabajar con la FCC y otras entidades gubernamentales de EE.UU. para demostrar nuestro enfoque de cumplimiento y mejores prácticas de seguridad de dispositivos, dice Norbert Muhrer, Presidente y CSO, Quectel Wireless Solutions. "Estamos comprometidos a contribuir al avance de un mundo más inteligente mediante la entrega de los mejores productos en su clase y seguros. Este compromiso se evidencia en nuestra extensa base de clientes OEM de dispositivos y en nuestro constante enfoque en proporcionar a nuestros clientes los mejores y más seguros módulos de la industria."
La carta del Comité Selecto del Congreso de los EE.UU. a la FCC tenÃa varios conceptos erróneos sobre cómo funcionan los módulos de Quectel. La aclaración de Quectel con respecto a las afirmaciones hechas en la carta es la siguiente.
- Carta del Comité: "Los módulos de conectividad suelen controlarse a distancia y son el enlace necesario entre el dispositivo e Internet".
Los clientes estadounidenses de Quectel o los proveedores externos/proveedores de servicios de sus clientes se encargan exclusivamente de la gestión de dispositivos y datos. Las actualizaciones de firmware son gestionadas y controladas por el fabricante de equipos originales (OEM) del dispositivo, no por Quectel.
- Carta del Comité: "Sirviendo de enlace entre el dispositivo e Internet, estos módulos tienen la capacidad tanto de brickear el dispositivo como de acceder a los datos que fluyen desde el dispositivo al servidor web que gestiona cada dispositivo"
El control de los módulos de Quectel reside en la unidad microcontroladora (MCU) o unidad central de procesamiento (CPU) integrada en el dispositivo del cliente. Quectel en sà no posee ningún control; en su lugar, esta autoridad recae únicamente en el OEM - la entidad responsable del desarrollo del dispositivo. La gestión remota del dispositivo es posible únicamente a través de la plataforma de gestión de dispositivos del OEM. Un ejemplo notable de esto, al que se hace referencia en la carta, es el caso ampliamente cubierto de los equipos agrÃcolas John Deere, en el que sólo el OEM puede normalmente desactivar el equipo accediendo y apagando sus propias MCU que controlan la máquina.
- Carta del Comité: "Como resultado, si el PCC puede controlar el módulo, puede ser capaz de exfiltrar datos de manera efectiva o apagar el dispositivo IoT".
Una vez que los módulos de Quectel salen de la fábrica y se entregan a sus clientes, los clientes de Quectel son los propietarios de los datos, y Quectel no tiene acceso a ninguno de los datos recopilados. La propiedad, el control, el almacenamiento y la modificación de los datos generados por los dispositivos IoT dentro del mercado recaen firmemente en los fabricantes de dispositivos OEM y sus clientes. Incluso en los raros casos fuera de los EE.UU. en los que Quectel revende el servicio de conectividad de un operador inalámbrico, Quectel no tiene acceso a los datos del dispositivo.
- Carta del Comité: "Esto plantea preocupaciones especialmente graves en el contexto de infraestructuras crÃticas y cualquier tipo de datos sensibles".
Las aplicaciones que requieren alta seguridad, como las infraestructuras crÃticas, suelen utilizar nombres de puntos de acceso privados (APN) y otros métodos que controlan y supervisan estrictamente el acceso a la red. Esto puede utilizarse para controlar y supervisar cualquier dato que fluya hacia y desde el dispositivo. La infraestructura crÃtica está meticulosamente diseñada con un enfoque de seguridad de múltiples niveles definido e implementado únicamente por el fabricante del dispositivo, no por Quectel.
La industria celular está fuertemente regulada y requiere pruebas y acreditaciones intensivas. Las certificaciones regulatorias y de operadores son ejecutadas por laboratorios de terceros de confianza y laboratorios de operadores, asegurando que el módulo cumple con estrictos requerimientos técnicos. Los módulos de Quectel han obtenido certificaciones de la FCC, PCS Type Certification Review Board (PTCRB) y de las principales operadoras de todo el mundo, lo que subraya el compromiso de Quectel con el cumplimiento de los rigurosos estándares de la industria.
Además de módulos celulares, Quectel también ofrece módulos y antenas Wi-Fi, Bluetooth y GNSS. Como miembro de GSMA, Quectel y sus socios operadores cumplen con todas las regulaciones de la industria celular y los estándares aplicables para asegurar que los datos del cliente final se transmiten de forma segura entre el dispositivo del cliente y el operador de red móvil. Quectel no tiene acceso a NINGUN dato del dispositivo.
Quectel se compromete a ofrecer módulos seguros de alta calidad, los mejores de su clase, e ir más allá de las prácticas estándar de la industria mediante la realización de auditorÃas de seguridad cibernética de terceros independientes. Más recientemente, Quectel también contrató a la empresa de seguridad Finite State, que está auditando y probando la penetración de la seguridad de sus módulos a través de rigurosas pruebas de seguridad, la mejora de la visibilidad de la cadena de suministro de software, y la gestión integral de riesgos de software. Quectel también participa en la formulación de nuevos estándares de certificación de seguridad de la industria, como el CTIA Cybersecurity Certification Working Group, y busca certificaciones adicionales de ciberseguridad de varias entidades estadounidenses a medida que se formulan y adoptan nuevos estándares.
Qualcomm fabrica los chipsets y las plataformas de software que constituyen el núcleo de los módulos de Quectel. "Nuestra asociación con Qualcomm subraya la importancia que concedemos a trabajar con socios seguros y de confianza de todo el ecosistema para ofrecer soluciones de alta calidad en todo el mundo", continúa Muhrer. "El impacto de Quectel en la industria global de IoT es profundo. Hemos suministrado millones de módulos celulares para apoyar la distribución de las vacunas Covid-19 para organizaciones lÃderes de Estados Unidos y del mundo, incluyendo Pfizer, Johnson & Johnson y otros proveedores lÃderes de vacunas. Esto subraya nuestro compromiso de desempeñar un papel fundamental en iniciativas globales crÃticas."
(Quectel Wireless Solutions)
