Normativa sobre ciberseguridad de los sistemas empotrados: Cómo está respondiendo la legislación a las amenazas a la seguridad

Los gobiernos de todo el mundo están intensificando las normativas de ciberseguridad y cada vez es más frecuente preguntarse qué significa esto para los desarrolladores y usuarios de sistemas empotrados.

¿Son los sistemas empotrados especialmente vulnerables a los ataques de ciberseguridad? ¿Existe legislación en materia de ciberseguridad que cubra específicamente la seguridad de los sistemas empotrados? Y, de no ser así, ¿se aplica a los sistemas empotrados el corpus legislativo sobre ciberseguridad, en constante evolución?

En este artículo, analizaremos los puntos débiles más comunes de la seguridad de los sistemas empotrados, examinaremos las leyes y normativas estadounidenses y mundiales sobre ciberseguridad que intentan abordar estos puntos débiles, y esbozaremos brevemente qué pueden hacer los desarrolladores y usuarios de sistemas empotrados para cumplir las normativas de conformidad en materia de ciberseguridad.

El panorama de la seguridad de los sistemas integrados

Los desarrolladores de sistemas integrados operan en un vasto panorama de sistemas integrados, herramientas y metodologías en su afán por fabricar productos conectados. Proceden de muchas disciplinas diferentes, como la ingeniería de software y hardware, y aportan su experiencia en una serie de áreas de conocimiento de apoyo, como protocolos de comunicación, pruebas y certificación, etc. Hoy en día, una de las disciplinas que crece con más rapidez es la seguridad de los sistemas integrados. 

¿Qué es un sistema integrado?

Un sistema embebido es un sistema informático especializado y autónomo diseñado para realizar un conjunto específico de tareas dentro de un sistema o dispositivo mayor. Los sistemas empotrados existen en aplicaciones como la electrónica de consumo, los sistemas de automoción, los dispositivos médicos y los sistemas de control industrial.

En entornos industriales, los sistemas empotrados se utilizan habitualmente para tareas como el control y la automatización, la supervisión de procesos, la gestión de equipos y la recopilación y el análisis de datos. Por ejemplo, en agricultura, los sistemas empotrados en sistemas de riego controlan el momento de regar, a menudo basándose en sensores de humedad. Y en las aplicaciones de fabricación y cadena de suministro, los sistemas integrados controlan la robótica, los ensamblajes automatizados y las máquinas de recogida y empaquetado. La tecnología de consumo también depende de los sistemas empotrados para la automatización y el control; piense en dispositivos domésticos inteligentes, tecnología vestible, electrodomésticos, etc.

Cabe señalar que la mayoría de los dispositivos IoT contienen un sistema integrado, aunque no todos los sistemas integrados son dispositivos IoT . La conectividad IoT significa que ahora el sistema integrado puede supervisarse y gestionarse desde cualquier lugar, pero también puede ser atacado desde cualquier lugar.

Los riesgos de ciberseguridad aumentan a medida que los sistemas integrados se conectan a Internet

Como cualquier tipo de tecnología, los sistemas empotrados son vulnerables a un subconjunto único de vectores de ataque a la ciberseguridad, que incluye fallos de seguridad del hardware y vulnerabilidad a estrategias de ataque como el desbordamiento del búfer, el man in the middle y la denegación de servicio.

Por supuesto, estos riesgos no son nuevos. Sin embargo, hay un aspecto crítico que ha cambiado y que hace que los sistemas integrados sean mucho más vulnerables que antes.

En el pasado, los sistemas empotrados solían funcionar en relativo aislamiento, es decir, dentro de un dispositivo o grupo de dispositivos conectados a una red interna, pero no al mundo exterior. Hoy, los dispositivos que utilizan sistemas empotrados están cada vez más conectados a Internet.

Conectar un dispositivo a Internet convirtiéndolo en un dispositivo IoT amplifica enormemente los riesgos de ciberseguridad:

• Mayor superficie de ataque: Conectados a Internet, los sistemas empotrados pasan a formar parte de un dominio digital mayor, lo que los hace más susceptibles de sufrir ataques.
• Falta de protocolos de seguridad: Los escasos protocolos de seguridad diseñados para dispositivos aislados no son lo suficientemente robustos cuando el sistema se expone a Internet.
• Actualizaciones y parches limitados: Las actualizaciones y los parches para sistemas integrados rara vez están a la altura de la naturaleza cambiante de las amenazas en línea.
• Integración con otros sistemas: Los sistemas integrados conectados a Internet suelen integrarse con otros sistemas conectados, por ejemplo, aplicaciones móviles y en la nube, lo que amplía aún más la superficie de ataque.

Antes de la revolución de IoT , los atacantes necesitaban tener información privilegiada o irrumpir físicamente en las instalaciones para lanzar un ataque. Hoy en día, los sistemas integrados -con todos sus defectos- están expuestos a una comunidad mundial de hackers.

Fácil de alcanzar para los piratas informáticos, difícil de actualizar para los usuarios

Los sistemas empotrados presentan vulnerabilidades de seguridad únicas, pero también son más difíciles de mantener seguros que otras tecnologías, por tres razones fundamentales:

• Ciclo de vida del producto: A diferencia de muchas otras tecnologías, los sistemas empotrados tienen vidas útiles de décadas: pensemos en aviones, sistemas de defensa, centrales eléctricas, etc. Los desarrolladores tienen el reto de contrarrestar toda una vida de riesgos de ciberseguridad desconocidos e impredecibles en la fase de diseño.
• Dificultad de actualización: los sistemas integrados pueden ser físicamente difíciles de alcanzar. Pensemos, por ejemplo, en las estaciones de control dispersas por todo un país o en el sistema de control integrado en las profundidades de una mina. Además, hay que tener en cuenta que los dispositivos alimentados por batería no siempre están encendidos y accesibles para instalar actualizaciones.
• Falta de flexibilidad: La naturaleza monolítica del sistema operativo en algunos sistemas y las limitadas capacidades de memoria y procesamiento del hardware integrado también causan restricciones al tipo de defensas de seguridad que los desarrolladores pueden añadir después de la comercialización.

Dicho esto, la dificultad de actualizar los sistemas embebidos varía: los televisores inteligentes o los teléfonos inteligentes pueden actualizarse con frecuencia sin apenas molestias para el usuario final, pero los sistemas de control industrial son más difíciles de actualizar.

Cómo responde la normativa de ciberseguridad a las amenazas

La dificultad de actualizar los dispositivos integrados hace que a veces los fabricantes sean reacios o incapaces de responder a las amenazas. Los mejores fabricantes siempre harán lo necesario para garantizar una ciberseguridad estricta, pero otros harán lo mínimo. En otras palabras, es un trabajo para los reguladores.

Normativa sobre ciberseguridad de los sistemas empotrados

No existe una normativa específica para los sistemas empotrados. No obstante, los sistemas empotrados están cubiertos por la normativa de cumplimiento de ciberseguridad en virtud de la naturaleza y las aplicaciones del dispositivo que contiene el sistema empotrado.

Por ejemplo, un dispositivo médico como una máquina de rayos X que contenga un controlador integrado podría estar cubierto por la normativa de ciberseguridad para dispositivos médicos. Del mismo modo, la tecnología integrada en un dispositivo IoT -un termómetro conectado, por ejemplo- podría estar cubierta por la normativa de ciberseguridad IoT .

No podemos abarcar exhaustivamente todas las leyes de ciberseguridad que se aplican a los sistemas integrados, pero en esta sección ofreceremos una visión general que esboza lo amplia (y nueva) que es gran parte de esta normativa.

Nueva normativa sobre ciberseguridad en EE.UU.

En Estados Unidos se están realizando numerosos esfuerzos para mejorar la ciberseguridad, algunos de los cuales se aplican a los dispositivos que utilizan sistemas integrados. Se trata de leyes que cubren los requisitos de seguridad de IoT y de normativas sectoriales que afectan, por ejemplo, a la sanidad y los servicios financieros.

Tomemos como ejemplo los dispositivos médicos conectados. En 2022, la Ley de la FDA se modificó añadiendo un requisito para los dispositivos médicos conectados, incluida la necesidad de supervisar los dispositivos mientras están en el mercado, una lista de materiales de software (SBOM) y ventanas de tiempo para la aplicación de parches.

La nueva legislación tiene implicaciones para los sistemas integrados en dispositivos médicos conectados. Del mismo modo, en los servicios financieros, los requisitos en torno, por ejemplo, a la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI-DSS) se aplicarían a los sistemas integrados en dispositivos que manejan datos de tarjetas de pago.

Pensando en la normativa californiana en materia de ciberseguridad, California aprobó la ley SB-327 sobre ciberseguridad y privacidad en el sector IoT , que incluye la obligación de los fabricantes de asignar contraseñas únicas preprogramadas a cada dispositivo, mientras que la ley californiana IoT (SB-327) también exige a los fabricantes que adopten medidas de seguridad razonables.

En cuanto a la normativa federal sobre ciberseguridad, la Ley de Mejora de la Ciberseguridad de 2020 (IoT Cybersecurity Improvement Act of 2020 ) se centra en los dispositivos IoT utilizados por los organismos federales, pero afecta indirectamente a los productos de consumo. Una vez más, dado que los dispositivos IoT suelen contener sistemas integrados, la ley tiene implicaciones para la ciberseguridad de la tecnología integrada.

Normativa mundial sobre ciberseguridad

La normativa de la UE tiene un alcance significativo, ya que los fabricantes de todo el mundo tendrían que asegurarse de que su dispositivo cumple la normativa simplemente para venderlo en el mercado de la UE, lo que significa que, en efecto, la legislación de la UE llega a todo el mundo. En la UE, las leyes que pueden afectar a la ciberseguridad de los sistemas empotrados son:

• Directiva sobre equipos radioeléctricos (RED): Aplica requisitos de ciberseguridad a los dispositivos que contienen componentes de equipos radioeléctricos, como módulos Bluetooth o Wi-Fi, independientemente de si dichos dispositivos están finalmente interconectados o no, lo que de nuevo suele ir de la mano de un sistema integrado en los dispositivos.
• Reglamentos sobre productos sanitarios (MDR) y productos sanitarios para diagnóstico in vitro (IVDR): Estos reglamentos describen los requisitos de ciberseguridad de los productos sanitarios en la UE, incluida la vigilancia posterior a la comercialización, la notificación de incidentes, la trazabilidad y las pruebas.
• Directiva NIS2: Se aplica a los sectores altamente críticos, que suelen desplegar sistemas empotrados, con especial atención a la seguridad de las redes y los sistemas de información.

Otras leyes como el Reglamento General de Protección de Datos (RGPD) y la Ley de Ciberseguridad de la UE también tendrán implicaciones para la tecnología empotrada, mientras que hay indicios de que la Ley de Ciberresiliencia (CRA ) abarcará muchas aplicaciones en las que los sistemas empotrados son habituales.

Los distintos países también aplican sus propias leyes. Por ejemplo, en 2020, el Ministerio japonés de Economía, Comercio e Industria (METI) anunció su Marco de Seguridad y ProtecciónIoT (IoT-SSF ). El marco evalúa las medidas de seguridad de los dispositivos y sistemas de IoT , así como los nuevos riesgos introducidos por la integración del ciberespacio y los espacios físicos.

IoT Normas de ciberseguridad tras la legislación

Merece la pena señalar que algunas de las normativas y directrices resumidas en esta sección se basan en normas de ciberseguridad existentes en IoT , como EN 303 645 e IEC 62443-4-2.

Por lo tanto, es aconsejable tener en cuenta normas de seguridad más amplias IoT a la hora de evaluar el diseño de sistemas empotrados conectados.

Especialmente en el caso de los productos que se enviarán a Europa a partir de 2024, los fabricantes deben buscar pruebas de que sus productos cumplen estas normas u obtener una certificación de terceros según sea necesario.

En cuanto a los EE.UU., también existe el Programa de Ciberseguridad del NIST para IoT , NISTIR 8259A: Core Device Cybersecurity Capability Baseline (29 de mayo de 2020) que deberían tener en cuenta los fabricantes de dispositivos IoT .

Requisitos de seguridad de los dispositivos IoT

Ya hemos explicado por qué la ciberseguridad de los sistemas embebidos es cada vez más importante: los dispositivos con tecnología embebida suelen ser también dispositivos IoT , simplemente porque vivimos en un mundo más conectado.

Requisitos fundamentales de seguridad de los sistemas empotrados en IoT

Para garantizar la seguridad de los dispositivos IoT y de los sistemas integrados que contienen, hay que empezar por las buenas prácticas de seguridad de los sistemas integrados. Esto incluye técnicas establecidas como:

• Raíz de confianza que proporciona funciones esenciales para permitir el arranque de confianza, la criptografía, la atestación y el almacenamiento seguro. La raíz de confianza se utiliza para mantener las claves criptográficas privadas (datos cifrados) confidenciales e inalteradas, protegidas por mecanismos de hardware.
• Arranque seguro que aprovecha la firma proporcionada por un anclaje de confianza del dispositivo para garantizar que el software que se ejecuta en un dispositivo es auténtico y no ha sido manipulado.
• Protección del espacio ejecu table que marca regiones de memoria específicas como no ejecutables, de modo que un intento de ejecutar código máquina en esas regiones provoca una excepción.
• Canales de pila para permitir que el sistema operativo detecte un desbordamiento del búfer de pila antes de ejecutar código malicioso.

Pero estas son decisiones fundamentales de diseño de seguridad integrada; los fabricantes de dispositivos también deben asegurarse de que pueden adaptarse a las amenazas cambiantes de un mundo en línea a lo largo del ciclo de vida de un producto y al cumplimiento y las normativas relacionadas con la ciberseguridad.

Requisitos de seguridad en la arquitectura IoT

El rápido ritmo al que evolucionan los riesgos de ciberseguridad obliga a gestionar las capacidades de seguridad de los dispositivos una vez que ya están en el mercado. Las estrategias para cumplir los requisitos de seguridad actuales en la arquitectura de IoT incluyen:

• Gestión del ciclo de vida del producto: Utilice servicios de supervisión y actualización basados en la nube para garantizar el cumplimiento de la legislación sobre ciberseguridad en cada fase del ciclo de vida de un dispositivo, desde su aprobación hasta el final de su vida útil.
• Transparencia y cumplimiento: Mantenga un análisis exhaustivo para construir un SBOM personalizado, al tiempo que supervisa las vulnerabilidades a lo largo de la vida útil del dispositivo, lo que permite a los fabricantes cumplir con sus obligaciones de transparencia mediante la identificación de vulnerabilidades críticas a medida que surgen.
• Respuesta a las amenazas: Mantenga la capacidad de enviar rápidamente actualizaciones críticas para abordar cualquier vulnerabilidad emergente mientras el sistema integrado funciona en el entorno del usuario.

Hacer estas sugerencias es la parte fácil, por supuesto. Ponerlas en práctica en el contexto de los sistemas empotrados es otra cuestión. Todo se reduce al conjunto de herramientas.

Soluciones Digi para la seguridad de sistemas integrados

Los desarrolladores, integradores de sistemas y fabricantes necesitan un sistema de seguridad integrado en IoT que les permita gestionar la seguridad de una flota de dispositivos IoT a lo largo del ciclo de vida del producto: desde su lanzamiento al mercado hasta el final de su vida útil.

 

Digi apoya todo el ciclo de vida del desarrollo, las pruebas, la integración de la seguridad y la gestión continua con un conjunto completo de bloques de construcción para desarrolladores -incluida la familiaDigi ConnectCore de módulos de sistema altamente integrados- y herramientas para el diseño rápido de productos, la integración inalámbrica, la seguridad integrada y la gestión continua del ciclo de vida.

Esto incluye aprovechar nuestro marco de seguridad Digi TrustFence® de IoT , que permite a los fabricantes integrar fácilmente en el diseño de sus productos funciones de seguridad de dispositivos, identidad de dispositivos y privacidad de datos. En combinación con el uso de servicios como Digi ConnectCore® Security Services que supervisa las amenazas una vez que el dispositivo está en servicio, y que permite a los fabricantes integrar correcciones para las vulnerabilidades identificadas, y Digi ConnectCore Cloud Services para publicar y desplegar de forma segura actualizaciones de dispositivos para contrarrestar nuevas amenazas.

Al diseñar para la seguridad desde el principio y garantizar una gestión activa de la seguridad a lo largo del ciclo de vida del producto, los fabricantes de equipos originales que construyen con sistemas integrados pueden cumplir el creciente volumen de normativas de ciberseguridad integradas específicas del sector y de IoT . El conjunto de SOM y herramientas y servicios para desarrolladores de Digi puede ayudarle a alcanzar estos objetivos. Y si necesita soporte de ingeniería para ayudar a llevar su sistema conectado a través del ciclo de desarrollo del producto para una rápida comercialización y cumplir con todos los requisitos actuales, Digi Wireless Design Services puede ayudarle.

Puede obtener más información sobre cómo la gama de soluciones de gestión y seguridad de Digi para sistemas embebidos puede ayudar a su organización a cumplir con la ciberseguridad visitando la página Digi ConnectCore Embedded Solutions aquí.

Próximos pasos

• ¿Está preparado para hablar con un experto de Digi? Póngase en contacto con nosotros
• ¿Quiere saber más de Digi? Suscríbase a nuestro boletín de noticias
• O compre ahora las soluciones Digi: Cómo comprar