El tío Sam tiene un plan para proteger su hogar inteligente. He aquí por qué somos escépticos.

May 29, 2024

Publicado el 2 de agosto de 2023

Raquel Cericola

Compartir esta publicacion

La casa inteligente a menudo tiene mala reputación. A la gente le preocupa que sus dispositivos los espíen o envíen datos personales a empresas nefastas. O que se rastrean todos sus movimientos y compras. O que algún rando espeluznante pueda hablar con sus hijos a través de su propia cámara de seguridad.

Y a veces tienen razón. Aunque algunos titulares llamativos han provocado ataques de tecnofobia masiva, el número de incidentes ha sido minúsculo en comparación con la cantidad de dispositivos que habitan en todos nuestros hogares. Sin embargo, la amenaza es real y no existen estándares para medidas de seguridad en toda la industria.

Eso cambiará pronto. La Comisión Federal de Comunicaciones anunció recientemente que, en cooperación con la Casa Blanca y un colectivo de minoristas y fabricantes de dispositivos, lanzará US Cyber ​​Trust Mark, un programa para certificar las características de privacidad y seguridad de una amplia gama de dispositivos inteligentes. La gran idea es que el programa facilitará que las personas tomen decisiones informadas y seguras.

Es una medida alentadora para que el gobierno federal finalmente brinde a la seguridad y privacidad del consumidor la atención que necesita desesperadamente. Pero después de profundizar en los detalles del programa y recibir comentarios de las empresas de hogares inteligentes, estamos moderando nuestro optimismo, al menos hasta que se publique información más concreta.

En conjunto, el equipo de hogares inteligentes de Wirecutter tiene varias décadas de experiencia investigando y probando dispositivos, lo que incluye comunicarse en profundidad con las empresas sobre las políticas y procedimientos de seguridad y privacidad que cubrirá este programa (y hacemos todo lo posible para guiar a nuestros lectores sobre las formas en que usted puede protegerse mejor). Apreciamos lo complejo que es el problema, especialmente porque la tecnología actual se cruza con las aplicaciones móviles y la computación en la nube y está diseñada específicamente para actualizarse. Un solo cambio de software en cualquiera de esas cosas puede transformar instantáneamente un dispositivo seguro en uno con vulnerabilidades. En otras palabras, decir que un dispositivo es más seguro versus decir que realmente es seguro son dos cosas muy diferentes.

A continuación presentamos un vistazo a cómo se espera que funcione el programa, las facetas que aplaudimos y las áreas que aún necesitan atención para que valga la pena respaldar la iniciativa.

Está previsto que el programa Cyber ​​Trust Mark de EE. UU. se lance a finales de 2024. El diseño de Trust Mark aún no está finalizado, pero se espera que incluya una insignia y una especie de etiqueta de cibernutrición con información sobre las prácticas de privacidad y seguridad de un producto y un código QR que enlaza con una base de datos del historial de seguridad de un dispositivo.

Cyber ​​Trust Mark se parece un poco a Energy Star . El programa de etiquetado y estándares liderado por la EPA, que se lanzó a principios de los años 90, ayudó a las empresas a producir dispositivos más ecológicos y aseguró a los consumidores a la hora de comprarlos. Esta vez, el objetivo es que todos los dispositivos conectados a la web, desde cámaras de seguridad, bombillas y termostatos inteligentes hasta pulseras de fitness, lavadoras inteligentes y enrutadores de computadoras, incluyan información sobre cuestiones de ciberseguridad que el público en general pueda comprender. (Vea a continuación, donde analizamos en qué se diferencia Energy Star).

Para obtener una marca Cyber ​​Trust Mark de EE. UU. para un dispositivo inteligente, las empresas deberán cumplir con estándares técnicos basados ​​en un conjunto de criterios desarrollados por el Instituto Nacional de Estándares y Tecnología. Aunque aún no se han anunciado los detalles finales del programa, el NIST sugiere que algunos estándares incluirán:

Una vez que un dispositivo está certificado, se puede colocar la etiqueta US Cyber ​​Trust Mark en su embalaje.

Todo este programa es voluntario. Es más bien un empujón del gobierno para lograr que las empresas obtengan mejores resultados, no un mandato de la industria. Parte de ese espíritu es la presunción por parte de los federales de que los fabricantes deberían ser responsables de educar a sus clientes sobre las ramificaciones de sus productos en materia de ciberseguridad. "Si un consumidor entiende cómo estar más seguro, es realmente una victoria", dijo Michael Dolan, director senior y jefe de Privacidad Empresarial y Protección de Datos de Best Buy en una rueda de prensa en la Casa Blanca. “El consumidor está más protegido. Los fabricantes están en mejor posición. El medio ambiente está en una mejor posición ya que los productos se revenden en lugar de simplemente reciclarse. Estamos muy emocionados de apoyar esto”.

Ya era hora. El término “Internet de las cosas” se acuñó por primera vez en 1999. Desde entonces, los dispositivos inteligentes se han vuelto más avanzados y más omnipresentes en la vida de las personas. Esa ubicuidad conlleva riesgos. Para habilitar nuevas funcionalidades, dispositivos como termostatos, bombillas y timbres han requerido acceso a más información privada, como direcciones de correo electrónico e información de ubicación, pero también huellas dactilares, perfiles de voz y escaneos faciales.

Además de permitir nuevas capacidades, esos tipos de datos privados que los consumidores a menudo renuncian sin querer también se han convertido en una lucrativa fuente de ingresos para las empresas que aprendieron a monetizarlos para publicidad dirigida y análisis avanzados que controlan sus hábitos y gastos. Los fabricantes suelen ocultar sus planes en largas políticas de privacidad que la mayoría de los consumidores nunca podrían entender. Y muchas personas simplemente no tienen idea de qué están haciendo sus dispositivos: simplemente hacen clic en Aceptar para que la secadora de ropa inteligente les avise cuando la ropa esté seca. Hace tiempo que hace falta un programa universal que arroje luz sobre todo esto en un lenguaje sencillo. Esta es una cosa muy buena.

"Creo que los consumidores en este momento sienten que no existe la privacidad", dijo Jan Schakowsky, congresista de Illinois, durante un evento de prensa en la Casa Blanca para anunciar la iniciativa. "Este es un gran paso adelante".

La base de datos del dispositivo estará actualizada. Cada dispositivo con una etiqueta Cyber ​​Trust Mark tendrá un código QR que los compradores podrán escanear para acceder a una base de datos que incluye las políticas de seguridad y privacidad actuales de un dispositivo determinado. Eso significa que se podrían incluir nuevas funciones, actualizaciones de políticas de privacidad y actualizaciones de software. Los funcionarios de la Casa Blanca también dijeron que tienen la intención de que las empresas recertifiquen sus dispositivos anualmente, lo que en teoría significa que no tendrá que preocuparse de que su nuevo termostato o bombilla inteligente quede huérfano debido a prácticas de ciberseguridad obsoletas.

"No queríamos crear una etiqueta obsoleta que dijera 'este producto se consideraba certificado y seguro' y por lo tanto permaneciera seguro para siempre", dijo Anne Neuberger, asesora adjunta de seguridad nacional de EE. UU. "El código QR brindará información actualizada sobre el cumplimiento y el cumplimiento de los estándares de ciberseguridad".

Muchas empresas están detrás del programa. Aunque es voluntario, asistieron 20 empresas para hacer declaraciones respaldando la iniciativa, incluidas Amazon, Best Buy, Google, Samsung, LG Electronics, Logitech y más, así como la Universidad Carnegie Mellon, Connectivity Standards Alliance y Consumer Technology. Asociación. Todos ellos prometen educar a los consumidores sobre la marca Cyber ​​Trust Mark de EE. UU. y lo que significa.

"Históricamente hablando, los programas de etiquetado son efectivos cuando la conciencia del consumidor sobre lo que significa la marca es alta y el público tiene confianza en los resultados que promete la marca", dijo Scott Johnstone, gerente senior de marketing de hogar inteligente en Lutron.

Hay muchas grandes incógnitas. Aunque el sistema se basará en los estándares NIST, queda mucho trabajo por hacer antes de que este programa entre en funcionamiento. "Hay muchos procesos en los que vamos a trabajar", dice Neuberger. "En este momento, creemos que el programa está realmente estructurado para tener éxito, pero vamos a trabajar en cada paso del camino".

Neuberger dice que muchas empresas ya están fabricando productos basados ​​en las recomendaciones del NIST. Aún así, la Casa Blanca espera que la marca Cyber ​​Trust Mark de EE. UU. esté finalizada a fines de 2024, y que los dispositivos lleven el logotipo poco después.

No todos están de acuerdo en los detalles. Una de las facetas del programa anunciado en el evento de la Casa Blanca es que las empresas podrán dar fe voluntariamente de los estándares de seguridad y privacidad propuestos. En otras palabras, será un sistema de honor, que es más o menos lo que tiene el país ahora.

Sin embargo, contradiciendo esa afirmación, Neuberger aseguró a Wirecutter en una entrevista que la certificación US Cyber ​​Trust Mark se basará en pruebas verificadas de terceros, no solo en la palabra del fabricante. "No creemos que la autocertificación sea el camino que queremos seguir", afirmó. "Y queremos que estos terceros estén certificados".

Wirecutter tiene años de experiencia en autocertificación. De hecho, durante mucho tiempo hemos exigido a todas las empresas que eligen nuestras casas inteligentes que confirmen sus políticas de seguridad y privacidad, y las informamos en nuestras revisiones. En el proceso, a menudo descubrimos cosas que los fabricantes no revelaron, caracterizaron erróneamente o simplemente no sabían (o al menos afirman que no sabían). Incluso las empresas bien intencionadas se equivocan, por lo que, sin una certificación formal, no estamos seguros de que sea muy beneficioso que el zorro cuide el gallinero.

No está claro qué tan útil será para los consumidores. A primera vista, la marca US Cyber ​​Trust se parece mucho a Energy Star, que en la mayoría de los casos ha sido un éxito. Sin embargo, difieren al menos en un aspecto fundamental: los estándares y requisitos de Energy Star son mensurables. La transparencia da confianza a los compradores. Si compra un producto con certificación Energy Star, sabrá que es un porcentaje específico más eficiente que un modelo no certificado.

Cyber ​​Trust Mark, tal como está actualmente, no proporciona ni de lejos el mismo nivel de claridad en blanco y negro, lo que podría hacerlo menos útil. En teoría, un dispositivo podría obtener una Cyber ​​Trust Mark, luego no lograr la recertificación y seguir en los estantes de las tiendas con el tan cacareado logotipo.

Es una empresa colosal. Aunque no diremos que proporcionar el mismo tipo de información altamente específica y útil que Energy Star sea imposible, dadas las medidas propuestas que hemos visto hasta ahora, nos cuesta imaginar cómo es factible un programa de ciberseguridad de esta magnitud. En particular, probar los equipos conectados a la web y sus aplicaciones asociadas y conexiones a la nube para detectar vulnerabilidades de seguridad es complicado, requiere mucho tiempo y es costoso. (En nuestra propia investigación, hemos descubierto que los costos de penetración, o pruebas de piratería, pueden ascender a decenas de miles de dólares, por un solo dispositivo). No estamos convencidos de que el gobierno pueda o esté dispuesto a conjurar el Se necesitaban fondos para probar miles de productos nuevos y existentes, y luego volver a probarlos anualmente, tal vez durante muchos años en algunos casos.

El uso del dispositivo es un factor clave. Nos complace saber que se planean contraseñas únicas y encriptación automáticas, porque proporcionan una base de seguridad. Esto es clave porque dejar las grandes decisiones de seguridad en manos de los consumidores ha demostrado ser problemático. Queda una gran pregunta: ¿Qué sucede si empareja un dispositivo seguro certificado con dispositivos no certificados potencialmente vulnerables?

Por ejemplo, aunque la mayoría de los fabricantes de dispositivos inteligentes le dicen a Wirecutter que no venden ni comparten datos personales de los usuarios, si integra esos dispositivos con una plataforma de terceros como Amazon Alexa o Google Home, ha optado por compartir sus datos personales. No está claro si esas garantías ya se aplican (a menos que esos productos también tengan la marca Cyber ​​Trust de EE. UU., por supuesto).

Los fabricantes lo apoyan con cautela. Nos comunicamos con las 30 empresas detrás de nuestras selecciones actuales de hogares inteligentes para evaluar su apoyo al programa. Sólo 15 nos respondieron y cuatro de esas empresas declararon que no tenían comentarios en este momento. Otros dijeron que, aunque apoyan plenamente la iniciativa, creen que ya están fabricando productos que se ajustan a los estándares del NIST.

Con tantas incógnitas, tan pocos socios y un cronograma tan largo, somos reacios a decir qué impacto, si es que tendrá alguno, tendrá esta iniciativa bien intencionada. Después de todo, en su estado actual es simplemente una colección de propuestas y es voluntaria. Y lo que es más importante, no estamos convencidos de que los compradores estén especialmente entusiasmados por realizar un reconocimiento de seguridad en los pasillos de compras utilizando el esquema de código QR propuesto. La gente quiere respuestas, no proyectos de investigación.

Para Wirecutter, mucho de lo que esta iniciativa espera lograr en realidad duplica gran parte del trabajo que ya estamos haciendo. Como hemos señalado, pedimos a los creadores de todas nuestras selecciones de hogares inteligentes que proporcionen información detallada sobre sus prácticas de seguridad y privacidad. Esto no es diferente, excepto por el hecho de que el programa tiene un conjunto propuesto de especificaciones técnicas y pruebas potencialmente obligatorias. Si eso se logra, sería un paso significativo en la dirección correcta, pero ese es un gran "si".

Este artículo fue editado por Jon Chase y Grant Clauser.

por Rachel Cericola

Haga que Alexa de Amazon trabaje para usted con estos fantásticos dispositivos domésticos inteligentes.

por Grant Clauser

Estos dispositivos domésticos inteligentes no necesitan instalación permanente, por lo que puedes llevarlos contigo cuando te mudes.

por Grant Clauser

Si tu altavoz inteligente es un Google Home, aquí tienes los mejores dispositivos que funcionan con él.

por Rachel Cericola

Los beneficios de los dispositivos domésticos inteligentes no terminan en la puerta. Encontramos excelentes para el patio trasero y el garaje.