En septiembre de 2020, un empleado de una empresa de suministro de agua del Reino Unido llamada South Staffordshire PLC abrió un correo electrónico de phishing. Según todos los indicios, se trataba de un mensaje muy convincente. Se instaló un programa malicioso. Y luego, durante casi veinte meses, no pasó absolutamente nada.
Sin embargo, entre bastidores, los atacantes habían obtenido acceso administrativo completo a los sistemas de la empresa. Se quedaron. Echaron un vistazo. Se sirvieron a su antojo. Para cuando alguien se dio cuenta, ya se habían sustraído 4,1 terabytes de datos y se habían publicado en la dark web. Quedaron comprometidos los datos personales de 633xº 000 clientes de esa empresa de suministro de agua, personas que no tenían ninguna opción significativa al respecto.
La multa rondó el millón de euros. Una cifra considerable, pero no ruinosa. El daño a la reputación, el impacto en los clientes y la interrupción de las operaciones , quizá un poco más significativos.
No se trata de un caso aislado. Es, cada vez más, un patrón recurrente.
Durante años, el enfoque de la ciberseguridad en la mayoría de los sectores fue, en general, voluntario. Por supuesto, existían marcos normativos, muchos de ellos: ISO 27001, NIS2, EN 18031, EN 303645 y otras más (aquí nos centramos un poco en la UE, pero cada región tiene sus equivalentes, como el NIST CSF en EE. UU.), y se animaba a las organizaciones a adoptarlos. Muchas lo hicieron. Muchas no lo hicieron, o los adoptaron parcialmente, o los trataron como un ejercicio de certificación puntual en lugar de como un compromiso operativo continuo.
Los legisladores y reguladores observaron este patrón durante bastante tiempo. La conclusión a la que llegaron no era descabellada: cuando las consecuencias de una seguridad deficiente se extienden más allá de la propia organización, afectando a los clientes, a las infraestructuras críticas y a la seguridad pública, el cumplimiento voluntario resulta insuficiente.
La Ley de Ciberresiliencia de la UE (y, en el caso del Reino Unido, el próximo proyecto de ley de ciberseguridad y resiliencia) es la respuesta legislativa más significativa a esa conclusión. Se aplica a cualquier organización que fabrique o comercialice productos conectados en el mercado europeo. No es una lista de verificación. No prescribe exactamente cómo debe lograrse la seguridad. Lo que sí hace es exigir a las organizaciones que apliquen un enfoque sistemático y basado en el riesgo a la seguridad de sus productos o activos conectados, y no solo en el momento del lanzamiento, sino a lo largo de todo su ciclo de vida.
Es precisamente en este último aspecto donde la mayoría de las organizaciones aún no se han puesto al día.
Históricamente, la seguridad de los productos era, en gran medida, una preocupación propia del momento del lanzamiento. Se fabricaba el dispositivo, se certificaba y se distribuía. Quizás se adquiría con todas las certificaciones ya confirmadas. A partir de ahí, la seguridad era problema de otros, ya fuera del fabricante de equipos originales (OEM), del proveedor de conectividad o de tu equipo de TI.
La CRA elimina por completo esa ambigüedad. La seguridad es ahora una responsabilidad que abarca todo el ciclo de vida. La gestión de vulnerabilidades, las actualizaciones de firmware, la implementación de parches, la divulgación de brechas y la respuesta a incidentes son obligaciones continuas, no actividades puntuales. Para un dispositivo con una vida útil de diez o quince años, se trata de una propuesta fundamentalmente diferente a todo lo que la mayoría de los equipos de producto e ingeniería han tenido que planificar hasta ahora.
Esto es especialmente relevante para el IoT y los dispositivos conectados, que plantean un reto muy diferente al de los sistemas informáticos tradicionales. Un parque de dispositivos gestionados, como smartphones, ordenadores de sobremesa o terminales empresariales estándar, opera en un entorno relativamente controlado, con herramientas estandarizadas, sistemas operativos conocidos y acceso administrativo directo. Los dispositivos IoT no funcionan así. Están distribuidos por ubicaciones que quizá no controles, funcionan con sistemas operativos variados y, en ocasiones, propietarios, cuentan con recursos informáticos limitados y se comunican con poca frecuencia con sistemas que, a su vez, pueden estar gestionados por terceros. Muchos de ellos no son compatibles con el tipo de seguridad basada en agentes en la que confían los equipos de TI tradicionales. Y muchos seguirán en el terreno mucho después de que el equipo que los implementó haya pasado a otras tareas.
Existe un patrón constante en la forma en que las organizaciones abordan actualmente la preparación para el CRA, y no siempre resulta especialmente tranquilizador.
A nivel de la junta directiva, el cumplimiento normativo tiende a entenderse como un ejercicio de gobernanza. Hay documentación, certificación y un proceso que gestionar antes de la implementación. Se parte de la base de que, si se han marcado las casillas adecuadas en el momento del lanzamiento, se ha cumplido con la obligación.
La realidad operativa es diferente. Las preguntas que realmente importan en el marco de la CRA son de carácter práctico: ¿Sabes dónde está desplegado cada dispositivo de tu parque? ¿Sabes qué versión de firmware ejecuta cada uno? ¿Puedes enviar una actualización de forma remota a un dispositivo comprometido? ¿Puedes aislarlo rápidamente de la red si es necesario? ¿Sabes, en este preciso momento, si alguno de tus dispositivos se está comunicando con una infraestructura de servidores con la que no debería? (¿Recuerdas ese problema de exfiltración de datos con el que empecé?)
Para muchas organizaciones, la respuesta sincera a varias de esas preguntas es «no». No por negligencia, sino porque simplemente no se han implantado las herramientas y los procesos necesarios para responder a ellas a gran escala. La CRA exige, en efecto, que las organizaciones desarrollen esa capacidad y la mantengan de forma continua, no que la demuestren una sola vez.
Cuando los medios de comunicación informan sobre el incumplimiento normativo, suelen centrarse en la sanción económica. La CRA impone multas de hasta 15 millones de euros o el 2,5 % de la facturación anual global por las infracciones más graves. Esas cifras son lo suficientemente elevadas como para llamar la atención en una reunión de la junta directiva.
Pero podría decirse que la multa es lo de menos.
El tiempo de inactividad operativo tras un ciberincidente genera costes inmediatos y tangibles: interrupción del servicio, repercusión en los clientes y esfuerzos de recuperación. En sectores como la recarga de vehículos eléctricos, la sanidad, la telemática de flotas o los servicios públicos, el tiempo de inactividad no es solo un inconveniente. Puede suponer un incidente comercial y de seguridad de gran relevancia. El daño a la reputación se acumula más lentamente, pero perdura más tiempo. Además, se observa una tendencia creciente —ya visible en la contratación pública empresarial— en la que los compradores evalúan activamente la postura de un proveedor en materia de ciberseguridad antes de adjudicar contratos. Las organizaciones con un historial de incidentes, o que carecen de procesos de seguridad demostrables, están empezando a verse excluidas de los marcos de contratación antes incluso de que comience la negociación.
Las aseguradoras también están planteando preguntas más difíciles. Las aseguradoras cibernéticas se han vuelto considerablemente más rigurosas en cuanto a lo que cubren y a qué prima, y las prácticas de seguridad a lo largo del ciclo de vida —como la aplicación de parches, la supervisión y la respuesta ante incidentes— forman parte cada vez más de esa evaluación.
El riesgo financiero de equivocarse en esto no es la multa.
Es el efecto acumulativo del tiempo de inactividad, el daño a la reputación, la exclusión de los procesos de contratación pública y la exposición a riesgos de seguros, que se acumulan con el tiempo. Organizaciones tan conocidas como Jaguar Land Rover ya han empezado a sentir el impacto de este tipo de ataques (24) Publicación | LinkedIn
Uno de los cambios de perspectiva más útiles que la CRA fomenta implícitamente es alejarse de la idea de que se puede alcanzar una seguridad perfecta, para centrarse en la pregunta de qué sucederá cuando —y no si— algo salga mal.
Ninguna organización puede afirmar de forma creíble que ofrece una protección del 100 %. Los atacantes son persistentes, las herramientas evolucionan constantemente y la superficie de ataque de una gran flota de dispositivos IoT distribuidos es sencillamente demasiado amplia como para defenderla por completo. La cuestión no es si se producirá una brecha de seguridad, sino si la organización cuenta con la visibilidad necesaria para detectarla rápidamente y con la capacidad para responder de forma eficaz.
Aquí es donde el énfasis de la CRA en la supervisión y la respuesta a incidentes cobra importancia práctica. Resulta que los reguladores no son indiferentes ante las organizaciones que sufren ataques. Lo que sí les resulta inaceptable es que las organizaciones que sufren ataques no cuenten con una capacidad significativa de detección o respuesta . La diferencia entre una conversación regulatoria manejable y una medida coercitiva grave radica cada vez más en qué medidas tenías implantadas y con qué rapidez actuaste, y no en si el ataque se produjo o no.
El caso de South Staffordshire Water también resulta instructivo en este sentido. Veinte meses es un periodo de tiempo extraordinario durante el cual un atacante ha podido actuar sin ser detectado dentro de los sistemas de una empresa de servicios públicos. La multa no solo reflejó la violación de seguridad, sino también la ausencia de un sistema de supervisión que la hubiera detectado antes.
No todas las organizaciones ven la CRA con temor. Un número cada vez mayor la considera una oportunidad para diferenciarse. Están creando sus propios marcos de seguridad, adoptando herramientas de seguridad basadas en el ciclo de vida y utilizando su postura demostrable como argumento de venta en los mercados regulados.
Es una estrategia razonable. En sectores donde los compradores se muestran cada vez más escépticos ante afirmaciones vagas sobre ciberseguridad, la capacidad de demostrar —y no solo afirmar— que se cuenta con una seguridad sistemática, continua y basada en el ciclo de vida se está convirtiendo en una auténtica ventaja comercial. Las organizaciones que avanzan más rápido son aquellas que aplican un enfoque proporcionado y basado en el riesgo, en lugar de intentar aplicar los máximos controles a todos los dispositivos por igual. Identifica qué es crítico desde el punto de vista operativo. Céntrate en lo que está expuesto al exterior. Aumenta la visibilidad, establece una conectividad segura, asegúrate de poder aplicar parches de forma remota y comprueba que tu capacidad de supervisión y respuesta ante incidentes sea real, no teórica.
Esosson los fundamentos. Y las organizaciones que los tienen implantados están descubriendo que el cumplimiento normativo y la diferenciación competitiva son, en la práctica, lo mismo.
La Ley de Resiliencia Cibernética no es un inconveniente burocrático. Se trata de un cambio estructural en la forma en que se asigna la responsabilidad de la seguridad de los productos conectados: se aleja de un espacio difuso y controvertido en el que todo el mundo daba por sentado que era problema de otro, y se orienta hacia una obligación clara y exigible para las organizaciones que fabrican y despliegan productos conectados.
En el caso concreto del IoT, ese cambio tiene implicaciones que van mucho más allá del cumplimiento legal. Requiere un enfoque diferente del desarrollo de productos, un conjunto diferente de capacidades operativas y un debate diferente a nivel de la junta directiva sobre lo que realmente significa la seguridad a lo largo de todo el ciclo de vida de un dispositivo implementado.
Las organizaciones que lo comprendan cuanto antes se encontrarán en una posición más sólida —desde el punto de vista comercial, operativo y normativo— cuando la aplicación de la legislación, que inevitablemente seguirá a su aprobación, comience a surtir efecto.
Iain Davidson es director de marketing de producto en Wireless Logic y cuenta con experiencia en conectividad del IoT y ciberseguridad
La solución de detección de anomalías y amenazas de Wireless Logic está diseñada específicamente para los retos de seguridad del IoT y los entornos periféricos. Sin agentes, para una rápida implementación.