Con el fin de contribuir en la creación e impulso de una cultura y conciencia en los usuarios finales, sobre el uso y cuidado responsable de la información personal contenida en los Equipos Terminales Móviles (ETM), así como aportar un instrumento de referencia para incentivar la innovación tecnológica en el sector de los dispositivos IoT, el IFT se dio a la tarea de recopilar las mejores prácticas en la materia.
En el documento “Código de mejores prácticas para la ciberseguridad en Equipos Terminales Móviles”, el órgano regulador refiere que la sofisticación y la rapidez de los avances tecnológicos en materia de movilidad va acompañada de la evolución de las amenazas, vulnerabilidades, riesgos y ataques en contra de los ETM, las redes públicas de telecomunicaciones, las aplicaciones móviles y la cadena de suministro de la tecnología en el ecosistema móvil en general.
Los ETM, detalla el Instituto Federal de Telecomunicaciones (IFT), permiten a los usuarios finales acceder a información y a los servicios de telecomunicaciones en cualquier momento y lugar, tanto para uso personal, como para asuntos laborales y de entretenimiento; al tratarse de pequeños dispositivos portátiles conectados en todo momento, los ETM permiten el acceso instantáneo a Internet y a un conjunto diverso de aplicaciones móviles.
“Sin embargo, un detalle muy importante que quizás la mayoría de los usuarios finales desconocen es que los ETM, representan una de las mayores superficies de ataque por el interés que genera la información personal contenida en éstos”.
Dicha información es proporcionada por los usuarios cuando emplean aplicaciones móviles instaladas en este tipo de dispositivos y que brindan acceso, entre otros, al sistema financiero, correo electrónico, redes sociales y mensajes de texto; información que, a su vez, pueden emplearse para la suplantación de identidad, fraude u otros delitos.
Por otro lado, y derivado del tamaño y forma de los ETM, éstos permiten a los usuarios finales un fácil manejo y transporte, lo que los hace más propensos a ser extraviados o robados.
Adicionalmente, los ETM al estar permanentemente conectados a las redes públicas de telecomunicaciones o a otros dispositivos a través de múltiples interfaces de conexión tales como, Wi-Fi, Bluetooth, GNSS, NFC etcétera, son propensos a amenazas, vulnerabilidades, riesgos y ataques dentro del ecosistema móvil.
El IFT subraya que el código se enfoca principalmente en los controles técnicos y políticas organizativas más importantes para ETM, abordando las deficiencias de seguridad más significativas y generalizadas, por lo que sus recomendaciones se centran en resultados en lugar de ser prescriptivas.
“No obstante lo anterior, a efecto de incentivar la adopción del presente Código por parte de los usuarios finales, fabricantes de ETM, por personas físicas o morales que desarrollen y proporcionen servicios y aplicaciones, así como por los concesionarios y autorizados del servicio móvil (Operadores), el instituto podrá gestionar una base de datos de ETM”.
Esta base de datos, que almacenará información en un formato homologado, proporcionada periódica y voluntariamente por parte de los involucrados e interesados en el desarrollo de la seguridad de los ETM, indicará de manera detallada qué equipos terminales siguen total o parcialmente las recomendaciones establecidas en el Código.
“Esta información podrá estar disponible y ser difundida por el Instituto (en sus redes sociales y en su portal de Internet), a efecto de dar a conocer a los usuarios finales qué ETM siguen las recomendaciones establecidas en el presente, lo que favorecerá la libre elección de los referidos ETM, brindando mayor certeza al momento de su adquisición y favoreciendo la competencia en el sector de las telecomunicaciones”.
Asimismo, en la página web del IFT ya se encuentra disponible el “Código de mejores prácticas para la ciberseguridad de los dispositivos de Internet de las Cosas (IoT)”, un instrumento de referencia que incorpora un enfoque basado en gestión de riesgos, enfatizando la seguridad por diseño.
“Asimismo, busca fortalecer e impulsar el desarrollo del IoT en México y sus consecuentes beneficios sociales y económicos, así como el incremento de la confianza en el uso del Internet, coadyuvando a una evolución tecnológica segura y confiable, y la promoción de la responsabilidad social en el ecosistema digital”.
Este código se enfoca principalmente en los controles técnicos y las políticas organizativas más importantes para Dispositivos IoT que abordarán las deficiencias de seguridad más significativas y generalizadas; las recomendaciones se centran en resultados en lugar de ser prescriptivas.
El IFT destaca que a efecto de incentivar la adopción del Código por parte de fabricantes de dispositivos de IoT, concesionarios y autorizados que brindan acceso a Internet, así como aquellos proveedores de aplicaciones, contenidos y/o servicio y cualquier otra persona física o moral que desarrolle y proporcione aplicaciones o servicios, gestionará una base de datos de dispositivos IoT y/o servicios asociados que cumplen total o parcialmente con las recomendaciones establecidas.
Y es que los riesgos vinculados a una falta o falla de seguridad de los dispositivos conectados a Internet afecta la confianza en la transformación digital y genera costos económicos y sociales, asimismo amenaza cada vez más la seguridad de las personas a través de dispositivos vulnerables del Internet de las cosas (IoT).
“Actualmente, las personas confían sus datos personales a un número creciente de Dispositivos IoT y Servicios asociados en línea, que permanentemente están recolectando y compartiendo dichos datos; sin darse cuenta, dan a conocer sus gustos, preferencias, horarios, direcciones, entre otras cosas, por lo que se deben valorar los datos personales que se comparten en la red y los riesgos que esto conlleva”.
C$T-GM