Las autoridades de la UE y EE. UU. avanzan para fortalecer las protecciones de seguridad cibernética
El brazo ejecutivo de la Unión Europea ha propuesto una nueva legislación para garantizar que los dispositivos inteligentes cumplan con los estándares de ciberseguridad, haciendo que el bloque sea menos vulnerable a ataques como el que sufre Uber.
Desde computadoras portátiles hasta refrigeradores y aplicaciones móviles, los dispositivos inteligentes conectados a Internet deberán evaluarse por sus riesgos de seguridad cibernética según el proyecto de normas de la Unión Europea anunciado el jueves.
«[La Ley] pondrá la responsabilidad donde corresponde, con aquellos que colocan los productos en el mercado», dijo la jefa digital de la UE, Margrethe Vestager, en un comunicado.
Según el proyecto de ley propuesto, conocido como Cyber Resilience Act, las empresas enfrentarían multas de hasta 15 millones de euros (13 millones de libras esterlinas) o hasta el 2,5 por ciento de su facturación global total si no solucionan los problemas identificados.
La pandemia de Covid-19 y la guerra en Ucrania han aumentado el riesgo de ciberataques, según las autoridades de la UE. Aunque la mayoría de las empresas tienen planes para proteger su infraestructura digital, la Comisión enfatizó que la mayoría de los productos de hardware y software actualmente no están sujetos a ninguna obligación de seguridad cibernética.
La UE dijo que se produce un ataque de ransomware cada 11 segundos y que el costo anual global del delito cibernético se estima en 5,5 billones de euros (4,800 millones de libras esterlinas) en 2021.
«Cuando se trata de seguridad cibernética, Europa es tan fuerte como su eslabón más débil, ya sea un estado miembro vulnerable o un producto inseguro a lo largo de la cadena de suministro», dijo Thierry Breton, comisionado de la UE para el mercado interno. «Ordenadores, teléfonos, electrodomésticos, dispositivos de asistencia virtual, coches, juguetes… todos y cada uno de estos cientos de millones de productos conectados son un punto de entrada potencial para un ciberataque».
Si se adopta, la regulación requeriría que los fabricantes tengan en cuenta la seguridad cibernética en el diseño y desarrollo de sus dispositivos, y las empresas seguirían siendo responsables de su seguridad durante la vida útil esperada de los productos, o un mínimo de cinco años. Las autoridades del mercado tendrían el poder de retirar o retirar dispositivos que no cumplan con las normas y multar a las empresas que no cumplan con las reglas.
La nueva política se basa en las reglas existentes propuestas por la Comisión Europea en 2020, conocidas como Directiva NIS 2, que, a su vez, amplía el alcance de la Directiva NIS actual.
La Comisión afirmó que la ley beneficiará a los consumidores, ya que mejorará la protección de los datos y la privacidad, así como a las empresas, que podrían ahorrar hasta 290 000 millones de euros (253 000 millones de euros) al año en incidentes cibernéticos frente a los costes de cumplimiento de unos 29 000 millones de euros (25 000 millones de libras). .
La UE no está sola en este impulso hacia medidas de ciberseguridad más estrictas. La Casa Blanca de EE. UU. también ha publicado esta semana nuevos requisitos federales de seguridad de software tras el ciberataque SolarWinds de 2020, que comprometió a varias agencias gubernamentales.
La nueva guía, ‘Mejora de la seguridad de la cadena de suministro de software para brindar una experiencia de gobierno segura’, asesora a las agencias sobre cómo garantizar que el uso de software de terceros cumpla con la guía del Instituto Nacional de Estándares y Tecnología (NIST). Los proveedores de software también pueden proporcionar un «plan de acción e hitos» si no se pueden lograr los estándares del NIST.
“No hace mucho tiempo, el único criterio real para la calidad de una pieza de software era si funcionaba como se anunciaba”, dijo el director federal de seguridad de la información, Chris DeRusha. “Con las amenazas cibernéticas que enfrentan las agencias federales, nuestra tecnología debe desarrollarse de manera que sea resistente y segura, asegurando la entrega de servicios críticos para el pueblo estadounidense mientras protege los datos del público estadounidense y protege contra adversarios extranjeros”.
La guía se publicó el mismo día en que la empresa de transporte compartido Uber reveló que se había puesto en contacto con la policía de EE. UU. después de sufrir un incidente de seguridad masivo.
Es probable que la violación sea más extensa que la violación de datos de 2016 y potencialmente puede haber comprometido toda su red. Se creía que el pirata informático había violado múltiples sistemas internos, con acceso administrativo a los servicios en la nube de Uber, incluidos Amazon Web Services (AWS) y Google Cloud (GCP). No hubo indicios de que la flota de vehículos de Uber o su funcionamiento se hayan visto afectados de alguna manera.
“El atacante afirma haber comprometido completamente a Uber, mostrando capturas de pantalla donde son administradores completos en AWS y GCP”, escribió Sam Curry en un tweet. El ingeniero de seguridad de Yuga Labs, que mantuvo correspondencia con el pirata informático, agregó: «Esto es un compromiso total por lo que parece».
Desde entonces, Uber ha cerrado el acceso en línea a sus sistemas de ingeniería y comunicaciones internas, mientras investigaba la violación, según un informe de The New York Times. The Times dijo que el pirata informático informó que tenía 18 años y dijo que irrumpió porque la empresa tenía poca seguridad.
Uber dijo por correo electrónico que “actualmente estaba respondiendo a un incidente de seguridad cibernética. Estamos en contacto con las fuerzas del orden”. Sin embargo, los expertos en seguridad cibernética han aprovechado la oportunidad para enfatizar la importancia de establecer fuertes protecciones cibernéticas para evitar ser víctimas de los piratas informáticos.
«La violación de datos de Uber nos recuerda que ninguna organización está a salvo y que todos tienen un papel que desempeñar en el fortalecimiento digital», dijo John Davis, director para Reino Unido e Irlanda, SANS Institute, EMEA, después de enterarse de la noticia.
«La concientización y la vigilancia son armas vitales en nuestra respuesta a estas amenazas. Las empresas están luchando contra enormes presiones en el clima actual, en medio de una inflación creciente y problemas de la cadena de suministro, y los piratas informáticos buscan explotar esto. Los ciberdelincuentes están subiendo de nivel. Sus ataques son más frecuentes, más sofisticado y más difícil de detectar».
Dan Davies, CTO de Maintel, agregó: “La reciente brecha de seguridad cibernética en Uber demuestra cómo garantizar la seguridad de los canales de comunicación debe ser una prioridad número uno para las empresas. Los piratas informáticos capaces de comprender estos sistemas tienen el potencial de apuntar a otras redes internas y causar interrupciones importantes. Una grieta en la armadura podría dar lugar a un golpe mortal para toda la organización».
Durante el año pasado, organizaciones de todo el mundo, desde el NHS del Reino Unido hasta Apple de los EE. UU., e incluso el gobierno albanés, sufrieron graves ataques cibernéticos que interrumpieron sus servicios y pusieron en riesgo la información personal de sus usuarios.