Al menos 28 marcas de aparatos dotados con tecnología de Internet de las Cosas (IoT) comercializados en el mercado mexicano, carecen de información relacionada con las características de ciberseguridad que deben tener este tipo de dispositivos, y que esté disponible para los usuarios, mientras en otros casos, los términos, condiciones y avisos de privacidad están en idiomas distintos al español o bien, no existen datos, ni página electrónica para consultar temas de seguridad.
Lo anterior se desprende del estudio “Ciberseguridad en los dispositivos de Internet de las Cosas (IoT)” publicado por el Instituto Federal de Telecomunicaciones (IFT), instancia reguladora que analizó productos de 348 fabricantes o marcas, que ofertan dispositivos homologados y que pueden ser consultados en el Catálogo de Dispositivos IoT publicado por el propio instituto el 21 de diciembre de 2022.
Entre los resultados más importantes, destaca que “del total de las marcas analizadas, 8.0 por ciento no contó con ningún tipo de información relacionada con las características de ciberseguridad de sus dispositivos”, lo cual significa que el usuario no puede saber si los aparatos son seguros o no.
Otro grupo de fabricantes si contó con información sobre ciberseguridad de sus productos en sus páginas electrónicas, pero es complicado encontrarla, pues las búsquedas realizadas por la autoridad reguladora tuvo que ser exhaustiva.
Otras marcas, simplemente no incluyen información respecto a incidentes de seguridad y relacionados con la información y datos personales de los usuarios, lo cual podría dar lugar a fugas de información sensible.
“El documento tiene como objetivo transparentar la información que los fabricantes o marcas difunden en sus portales de internet y que se encuentra asociada a las características que se establecen en el Código de mejores prácticas para la ciberseguridad del Internet de las Cosas, publicado por el IFT en febrero de 2023”, señaló el órgano regulador a través de un comunicado.
Para realizar este análisis, el IFT clasificó los controles técnicos y políticas organizativas, conforme a estándares sugeridos a los fabricantes en el Código de mejores prácticas para la ciberseguridad del Internet de las Cosas, donde se agrupó la información en siete apartados, cada uno con algunas subcategorías, donde se analizan diversos aspectos:
Contraseñas; actualizaciones del software; uso de comunicaciones seguras; integridad del software; datos de telemetría; eliminación de datos personales una vez que el dispositivo ha cumplido con su fase de vida útil; credenciales y parámetros de seguridad sensible.
En el listado de las marcas y dispositivos que está ordenado de manera alfabética y que se puede consultar en el sitio web del IFT, se incluyen las mismas categorías y subcategorías en cada una de las marcas, lo que permite ubicar fácilmente el dispositivo sobre el cual algún usuario tenga interés en averiguar.
Asimismo, para garantizar un uso seguro de la tecnología de IoT, el órgano regulador recomendó a los usuarios verificar si las actualizaciones de software de los dispositivos se realizan automáticamente o no y, en todo caso, mantenerlo siempre actualizado; personalizar el nombre de usuario y contraseña del dispositivo; utilizar siempre contraseñas seguras que incluyan letras (mayúsculas y minúsculas), números y caracteres especiales.
De ser posible, también es importante, utilizar métodos de doble autenticación para acceder a los 0dispositivos o cuentas asociadas y revisar el tratamiento que los fabricantes le darán a la información y datos personales del usuario, sin descuidar que los aparatos deban ser desactivados cuando no estén en uso.
Para el caso de los dispositivos que dejarán de ser utilizados, es importante eliminar la información y datos personales que hayan sido almacenados, tanto en el aparato en sí mismo, como en la cuenta asociada, ya que los datos no desaparecen por el sólo hecho de no utilizar el aparato.
Ante el creciente número de aparatos dotados con tecnología de IoT y los servicios en línea a ellos asociados, es imprescindible, que como usuario se pueda identificar la información que los equipos recolectan, así como los mecanismos necesarios para configurar elementos de privacidad, y sólo pueda ser visible la información que el usuario decida compartir.
Cabe recordar que los aparatos con IoT permanentemente están recolectando y procesando datos. “Por eso, es importante promover el uso informado de los dispositivos y la concientización sobre la eventual compartición de los datos que se recolectan y los riesgos que esto conlleva”.
C$T-EVP