Así afectará a tus dispositivos la nueva Ley de Ciberresiliencia de la UE

Cada día leemos sobre algún nuevo tipo de estafa cibernética y, si bien algunas resultan cada vez más fáciles de esquivar (ignorar hipotéticos mensajes de auxilio y llamadas de misteriosos asesores bancarios), otras dependen más bien de los fabricantes de dispositivos. Los ciberdelincuentes aprovechan brechas de seguridad en los sistemas operativos de nuestros teléfonos y ordenadores para sustraer información personal, la cual les permite chantajearnos o vaciarnos la cuenta corriente sin mediar palabra. En ocasiones, son los gadgets del hogar conectado (como las cámaras de vigilancia) los que atesoran fallos de diseño que permiten la intrusión de desconocidos, sin que podamos hacer mucho al respecto salvo confiar en el lanzamiento de parches correctores.

A este respecto, la Unión Europea ultima la llamada Ley de Ciberresiliencia, aprobada por el Parlamento Europeo el pasado marzo y pendiente del dictamen del Consejo Europeo. Su aprobación se prevé así este mismo año, momento a partir del cual todos los dispositivos tecnológicos que se comercialicen en el marco de la UE deberán cumplir con una normativa mínima en ciberseguridad. El objetivo es que nuestros aparatos se blinden de fábrica frente a los malhechores digitales, tal y como explica a este medio Martín Trullas, director de la división de Advanced Solutions de la firma Ingram Micro: «La Unión quiere garantizar la capacidad de los sistemas para resistir y/o recuperarse ante ataques cibernéticos. Por ello, propone actuaciones en dos frentes: proteger los activos digitales y facilitar su continuidad ante este tipo de incidentes. Anticipación, detección y respuesta rápida son tres de las claves de la ciberresiliencia, que ahora está sobre la mesa con la llegada de esta ley».

Una vez aprobada la ley, los fabricantes tendrán 36 meses para adaptar a la normativa aquellos dispositivos que se hayan puesto a la venta a partir de su entrada en vigor. Eso sí, habrá excepciones como «el software de código abierto o los servicios que ya están cubiertos por las normas existentes, como es el caso de los dispositivos médicos, la aviación y los automóviles», matiza Trullas.

¿Cómo afectará entonces la Ley de Ciberresiliencia a consumidores y fabricantes? Respecto a los primeros, Trullas vaticina que la normativa supondrá, «por un lado, mayor seguridad a la hora de utilizar dispositivos digitales conectados a Internet, ya que serán más robustos que hasta ahora. Por otro, brindará un mayor grado de transparencia e información, porque los usuarios tendrán que ser informados sobre el grado de seguridad que ofrecen esos dispositivos (empezando por el etiquetado con la 'CE', que determinará si cumplen o no con lo estipulado). Les ayudará a elegir qué tecnología comprar en función de la ciberseguridad que ofrezca cada producto».

En cuanto a las compañías, la ley contempla multas de hasta 15 millones de euros o el 2,5% de su volumen de negocio en caso de ser ignorada. Así, el directivo de Ingram Micro cree que «terminará beneficiando a las marcas que diseñen, vendan y mantengan dispositivos más robustos, fiables y seguros. [...] Al final, la ley permitirá tomar mejores decisiones de compra, así que los fabricantes que lo estén haciendo mejor, tendrán mayores oportunidades de que los consumidores se decanten por sus productos y no por los de la competencia».

Visto lo visto, también cabe preguntarse qué ocurrirá con aquellos aparatos comercializados antes de que entre en vigor la nueva ley. Al no tratarse de una legislación retroactiva, la pelota estará en el tejado usuarios y fabricantes, explica Trullas: «Muchos consumidores y empresas optarán por renovar los dispositivos que ya tengan, y que no cuenten con esa capa de ciberseguridad que sí tendrán los que salgan a la venta en breve. Esto salvo que los fabricantes decidan, aun sin estar obligados a ello, reforzar sus componentes de seguridad mediante alguna actualización de software».

El detonante de la Ley de Ciberresiliencia se encuentra en la gran cantidad de dispositivos conectados a Internet indebidamente protegidos frente a los ciberdelincuentes. Esto supone un problema para 6 de cada 10 españoles, quienes según el CIS aseveran tener poco o ningún conocimiento de ciberseguridad: «Hasta ahora -prosigue Trullas- se ponía todo el peso de la responsabilidad en el usuario, en sus buenas prácticas a la hora de usar dispositivos digitales; pero la nueva legislación digamos que reparte esa responsabilidad entre el usuario y el fabricante, que debe cumplir unos requisitos para que, independientemente del grado de conocimiento o comportamiento del usuario, el dispositivo cuente con herramientas para proteger la ciberseguridad. Es ahí donde vemos el cambio de calado».

Existen, no obstante, una serie de precauciones básicas que todos debemos tomar incluso después de que la UE culmine su iniciativa: mantener actualizados nuestros gadgets a la última versión (lo que garantiza contar con los últimos parches de seguridad dispuestos por sus fabricantes); no visitar páginas web potencialmente maliciosas (de lo que suele informarnos cualquier navegador); no abrir archivos adjuntos sospechosos recibidos por email o a través de aplicaciones de mensajería instantánea (especialmente si no conocemos al remitente); y confiar únicamente en proveedores, distribuidores y marcas fiables, que ofrezcan garantías frente a cualquier problema.

• Temas
• Unión Europea (UE)
• Ciberseguridad