El gobierno del Reino Unido ha publicado una convocatoria de opiniones sobre las propuestas de «intervenciones políticas» diseñadas para mejorar la seguridad de los productos del IoT empresarial, después de que una nueva investigación revelara vulnerabilidades flagrantes en numerosos dispositivos.

El Departamento de Ciencia, Innovación y Tecnología (DSIT) encargó a NCC Group la realización de pruebas en diversos componentes: una cámara de gama alta y otra de gama baja, un dispositivo VoIP, un panel para salas de reuniones y un dispositivo NAS.

Se detectaron 50 problemas, incluyendo uno crítico y nueve de alta gravedad. Entre sus hallazgos generales se encuentran:

Varias vulnerabilidades graves de ejecución remota de código (RCE) que podrían haber permitido a un atacante no autenticado obtener el control total de un dispositivo.
Software obsoleto en varios dispositivos, incluyendo un gestor de arranque con más de 15 años de antigüedad.
La mayoría de los dispositivos podrían haber permitido a un atacante con acceso físico comprometer completamente e instalar una puerta trasera persistente.
La mayoría de los dispositivos ejecutaban todos los procesos como usuario «root», lo que potencialmente otorgaba a un atacante acceso o control ilimitado del dispositivo.
Configuración insegura de servicios, aplicaciones o funciones.
Cumplimiento desigual de los Principios de Seguridad de Dispositivos del NCSC y la norma ETSI EN 303 645.
Lea más sobre seguridad del IoT: La mitad de los líderes de TI identifican el IoT como un punto débil de seguridad.

Por lo tanto, el gobierno está interesado en mejorar la seguridad básica de los dispositivos IoT empresariales vendidos en el Reino Unido, como ya hizo con los dispositivos de consumo a través de su Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI).

El código de prácticas se basará en un documento de orientación de «11 principios», coescrito por el Centro Nacional de Ciberseguridad (NCSC) y el DSIT en 2022.

Tras la decepcionante aceptación de sus elementos clave, el gobierno busca mejorar la participación de la industria implementando algunas o todas las siguientes medidas:

Un compromiso voluntario que los fabricantes de dispositivos conectados empresariales podrían suscribir para mejorar la seguridad de sus productos y demostrar a los compradores de TI que son una marca de confianza.

Un nuevo estándar global basado en el Código de Prácticas para la Seguridad de Dispositivos Conectados Empresariales, que se basaría en los estándares existentes para dispositivos IoT de consumo. Esto podría “aumentar la confianza en los dispositivos de un fabricante y proporcionar protecciones de seguridad coherentes en los mercados internacionales”, según el gobierno. Legislación para consagrar los principios del código, posiblemente actualizando y ampliando la Ley PSTI.