En 2023, miles de millones de dispositivos del Internet de las Cosas se habrán abierto camino en casi todos los ámbitos de la vida, la industria y las infraestructuras críticas. Dado que estos dispositivos inteligentes permanentemente conectados procesan datos muy sensibles, su actualización es esencial para cerrar las vulnerabilidades y mejorar así la ciberseguridad, especialmente en tiempos de ataques de hackers, uso indebido de datos o espionaje industrial. En este contexto, un nuevo estudio de Fraunhofer ISI ha analizado los datos de 52.000 millones de dispositivos, su ubicación geográfica, si el firmware que tienen instalado está actualizado y qué impacto tiene en ello el Reglamento General de Protección de Datos europeo. Las conclusiones muestran que es sólo cuestión de tiempo que puedan producirse fácilmente ciberataques muy graves.
Los usuarios hacen un seguimiento de su salud y forma física con wearables, colocan altavoces inteligentes con potentes micrófonos en sus salones e instalan sensores baratos de fabricantes sin nombre para automatizar tareas en sus hogares inteligentes. Lo mismo ocurre en la industria, donde los dispositivos del IoT industrial conectan y supervisan máquinas, por ejemplo. La mayoría de estos dispositivos se olvidan rápidamente, una vez instalados y en funcionamiento. A menudo se ignoran las posibles vulnerabilidades de un firmware obsoleto y las actualizaciones o parches, incluso si algunos fabricantes de dispositivos IoT los proporcionan, lo que no siempre es el caso, ya que muchos de ellos dan prioridad a un rápido tiempo de comercialización y solo proporcionan con poca frecuencia actualizaciones y parches de software o firmware. Esto puede crear graves amenazas para la privacidad y la seguridad de los usuarios.
Los responsables políticos de todo el mundo han tomado conciencia de estas amenazas a las que se enfrentan los usuarios y persiguen normativas estrictas como el GDPR europeo. Además, el "derecho a las actualizaciones", estipulado en una directiva de la UE y en vigor desde 2022, es otro paso importante hacia dispositivos más seguros. Muy recientemente, la Comisión de la UE firmó la "Ley de Ciberresiliencia", que introduce la obligación legal para los fabricantes de proporcionar a los consumidores actualizaciones de seguridad oportunas durante varios años después de la compra.
¿Qué impacto tiene esto en los fabricantes de dispositivos inteligentes?
Un nuevo estudio ha intentado dar respuesta a esta y otras preguntas y ha analizado 400 terabytes de datos del mundo real del motor de búsqueda IoT Censys.io desde octubre de 2015 hasta finales de noviembre de 2021. El análisis consta de datos de 52.000 millones de dispositivos. De ellos, 175 millones revelaron información analizable, lo que dio lugar a un conjunto de datos que contiene 7.116 modelos distintos de 384 fabricantes clasificados en 17 tipos de dispositivos diferentes. Los datos permiten realizar comparaciones entre una amplia variedad de países, a saber, todos los Estados miembros de la UE, los Estados del G7 y Suiza, pero también Rusia y Ucrania, así como países asiáticos, como Malasia, Indonesia, Singapur, Japón y el Reino Unido. Los resultados muestran que la mayoría de los dispositivos están instalados en Estados Unidos (52%), seguidos de Alemania (7%), Rusia (4%), Reino Unido (4%), Japón (4%), Francia (4%), Canadá (3%), Polonia (3%), Singapur (1%), Indonesia (1%) y otros países (16%).
Principales riesgos de ciberseguridad debidos al firmware antiguo y a la antigüedad de los dispositivos
Examinando el statu quo de finales de 2021, la antigüedad del firmware que se ejecuta en los dispositivos en Alemania es de 689 días, es decir, 1,9 años (y). Además, los dispositivos no han recibido ninguna otra actualización (actualización de software, parche, etc.) durante casi un año (351 días). A escala de la UE, la situación es aún peor, con un retraso en la actualización del firmware de 930 días (2,5 años) y otras actualizaciones ignoradas durante 411 días (1,1 años). Esto significa que el uso de muchos de estos dispositivos está asociado a importantes riesgos de ciberseguridad y que la protección de datos ya no es posible en este caso: los dispositivos son vulnerables y presa fácil de ataques de piratas informáticos, por ejemplo.
Si nos fijamos en la antigüedad de los dispositivos y en las diferencias geográficas, los resultados revelan que los dispositivos de Irlanda son los más actualizados (239 días), mientras que Portugal se sitúa a la cola con 786 días. Si nos fijamos en el Sudeste Asiático, resulta evidente que Singapur obtiene los mejores resultados (299 días) y Malasia los peores (477 días, 1,3 años). Los dispositivos más antiguos se encuentran en Japón (716 días, casi 2 años).
¿Ha mejorado el GDPR la actualización del firmware instalado?
En cuanto a la pregunta de si la situación ha cambiado a mejor desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) europeo -que contiene una normativa explícita al respecto-, el estudio arroja conclusiones interesantes: Mientras que, a nivel mundial, la antigüedad de los dispositivos ha disminuido, la situación es muy diferente en Europa: de hecho, en 28 de los 35 Estados miembros de la UE, la antigüedad de los dispositivos aumentó una media de 99 días.
El Dr. Frank Ebbers, autor de dos trabajos de investigación (véase más adelante) sobre este tema, interpreta los resultados de la siguiente manera: "El bajo índice de actualización debería alarmar tanto a los fabricantes como a los usuarios, pero también a los responsables políticos, y hacer que se preste más atención a esta cuestión. También es sorprendente que el GDPR no haya tenido el impacto esperado en las actualizaciones de software dentro de la UE. Esto podría explicarse por el hecho de que los usuarios creen ahora que el GDPR está en vigor que solo las empresas son responsables de las actualizaciones y que estas organizaciones se preocupan más por la privacidad de los clientes." Frank Ebbers cree que los fabricantes, las autoridades reguladoras y los propios usuarios tienen una responsabilidad en este sentido: "Sólo mediante el esfuerzo conjunto de estos tres socios es posible crear una infraestructura informática más segura". A menudo se dice que la situación puede mejorar con actualizaciones automáticas, las llamadas "over-the-air". Él tiene una opinión crítica al respecto: "La primera cuestión que se plantea aquí es quién es responsable de los daños causados por errores en las actualizaciones automáticas. Basta pensar en el sector médico, donde una actualización defectuosa de dispositivos portátiles de ECG puede costar vidas".
Por tanto, las autoridades reguladoras deberían emitir recomendaciones a los fabricantes que les obliguen (o empujen) a incorporar buenos mecanismos de actualización en los dispositivos, que luego puedan ser fácilmente comprensibles para los usuarios finales. Además, las actualizaciones deberían convertirse en un requisito previo para la puesta en servicio en Europa como parte del etiquetado CE.
(Fraunhofer ISI)
