La Ley de Ciberresiliencia europea cambiará los requisitos de ciberseguridad que deben cumplir todos los productos digitales que se introduzcan en el mercado
30 dic 2024 . Actualizado a las 08:33 h.Hace casi diez años, en el 2015, había en el mundo unos 3.600 millones de dispositivos conectados a internet. Hoy son ya 21.000 millones y se espera que la cifra se duplique antes del 2030. La lista, además, se va haciendo cada vez más larga. A los teléfonos móviles u ordenadores se le sumaron primero los televisores. Ahora también son dispositivos inteligentes las bombillas, los relojes, las cámaras de vigilancia, muchos juguetes y todo tipo de electrodomésticos. El Internet de las Cosas, o IoT por sus siglas en inglés, hace referencia a una tecnología basada en la conexión de objetos cotidianos a la red.
Todo dispositivo IoT es capaz de conectarse a una red recibiendo y enviando datos constantemente. Y como consecuencia, es accesible desde cualquier parte del mundo gracias a esa conexión. Lo que lo convierte en susceptible de sufrir un ciberataque. Por eso la Unión Europea (UE) ha considerado necesario establecer un marco jurídico uniforme, relativo a los requisitos de ciberseguridad que deben cumplir todos los productos con elementos digitales que se introduzcan en el mercado europeo. La Ley de Ciberresiliencia entró en vigor el pasado 10 de diciembre. Ahora se abre un período de transición con 2027 como plazo límite para que los fabricantes se adapten a los nuevos requisitos.
Vulnerabilidades detectadas
El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 83.517 incidentes de ciberseguridad el pasado año. De estos ciberataques denunciados, un 87% fueron sobre fraudes económicos mediante el uso precisamente de instrumentos tecnológicos como ordenadores, smartphones u otros dispositivos portátiles. La OCU realizó un experimento con 17 productos domésticos conectados a internet y sus expertos en ciberseguridad identificaron un total de 61 vulnerabilidades, 12 de ellas críticas. Las brechas de seguridad más graves se encontraron en cámaras de vídeovigilancia, cerraduras electrónicas y dispositivos portátiles. Por ejemplo, muchos fabricantes aún aceptan contraseñas débiles como «123456» o tienen un cifrado débil de las comunicaciones entre dispositivos y aplicaciones con los servidores. Esto permite a quienes tienen acceso a la red capturar datos como las claves, nombres de usuario o incluso grabaciones de vídeo si el dispositivo es una cámara.
¿Qué cambiará la ley?
Desde el 11 de diciembre del 2027, fecha clave para la aplicación completa de esta normativa, los fabricantes deberán cumplir una serie de estrictos requisitos de seguridad. Por ejemplo, estarán obligados a realizar análisis de riesgos en todas las fases de producción, garantizar actualizaciones que corrijan vulnerabilidades y proporcionar información clara y detallada sobre los riesgos asociados al uso de cada dispositivo.
La norma se aplica a todos los productos que incorporen software o hardware que, de forma directa o indirecta, se conecten a otro dispositivo o a una red. La excepción son aquellos que ya estén dentro del ámbito de aplicación de otra regulación, como es el caso de equipos para la industria de automoción, dispositivos aeronáuticos o equipos utilizados en el sector sanitario.
Imaginemos, por ejemplo, un reloj inteligente: bajo las nuevas reglas, el fabricante deberá garantizar que este dispositivo pueda recibir actualizaciones de seguridad durante toda su vida útil y que sus datos personales puedan eliminarse de manera segura al cambiar de modelo. Otro caso práctico es el de las cámaras de seguridad domésticas. Bajo esta normativa, deberá ser más difícil que un ciberdelincuente pueda tomar el control de estos dispositivos o usarlos para espiar. Los fabricantes estarán obligados a notificar vulnerabilidades críticas en un plazo de 24 horas, lo que permitirá actuar con rapidez antes de que se produzcan daños.
«Con esta ley se busca que los dispositivos digitales comercializados en Europa no solo sean seguros desde el diseño, sino también que los usuarios puedan confiar en ellos sin temor a vulnerabilidades», explica Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT, una empresa especializada en seguridad de la información.
Además del bajo nivel de ciberseguridad de muchos dispositivos, el segundo problema identificado por la UE es la insuficiente información ofrecida por los fabricantes de estos productos, y el acceso a ella por parte de los ciudadanos. Esto impide que los usuarios seleccionen productos con las características de ciberseguridad adecuadas o que los puedan utilizar de forma segura. «Desde el punto de vista del usuario, la información que el fabricante deberá poner a su disposición en materia de ciberseguridad será más amplia que la actual. Los usuarios deberán ser informados sobre los riesgos de ciberseguridad asociados al producto; las medidas implantadas para mitigarlos o la posibilidad de eliminar de manera segura los datos y parámetros tratados en el producto», explica Juan Manuel Valiente.
¿Cuándo empezará a aplicarse?
La Ley de Ciberresilencia cuenta con diferentes plazos de cumplimiento en función del tipo de obligaciones. A nivel general, los fabricantes, importadores y distribuidores de productos con elementos digitales deberán notificar vulnerabilidades e incidentes graves de sus productos a los organismos competentes antes del mes de septiembre de 2026. En relación con el resto de las obligaciones, establecidas por la ley, se deberán cumplir antes del 11 de diciembre del 2027.