Anuncio
Anuncio
Anuncio
Anuncio
© Würth Elektronik
Análisis |

Tiempos difíciles para los hackers - Parte 1 Fundamentos de la normativa

La ciberseguridad es un tema central de la normativa europea. De acuerdo con la Directiva sobre equipos radioeléctricos, y con límite agosto de 2025, los productos que utilicen tecnología de radiocomunicación y conexión a internet deberán garantizar la protección de la red, salvaguardar los datos personales y prevenir el fraude. La norma EN 18031 está destinada a ayudar a los fabricantes con el proceso de implementación.

Autor: Gerhard Stelzer

Estadísticamente, cada 11 segundos se produce un ataque de ransomware en el mundo, según datos de la Comisión Europea. Solo estos ataques de ransomware generaron en 2021 unos costes estimados de 20 000 millones de euros en todo el mundo. Las cifras de Statista prevén un volumen global de daños generados por ciberdelitos de aproximadamente 10 billones de dólares para 2025 (Figura 1). Al mismo tiempo, se estima que los ciberdelincuentes habrían lanzado alrededor de 10 millones de ataques DDoS (Distributed Denial of Service) para entonces.

© Würth Elektronik | Figura 1 Estimación del volumen global de daños provocados por la ciberdelincuencia en billones de dólares. (Fuente: Statista).

La Comisión Europea tiene la intención de incrementar la resistencia y seguridad de Europa frente a los ciberataques, para lo que ha aprobado la Ley de Ciberresiliencia («Cyber Resilience Act» - CRA). Se trata de la primera legislación de este tipo para toda la UE, que establece normas comunes de ciberseguridad para fabricantes y desarrolladores de productos con «elementos digitales» (hardware y software). 

La Ley de Ciberresiliencia pretende que

  • los productos por cable e inalámbricos conectados a internet, además del software en el mercado de la UE, sean más seguros.
  • los fabricantes sean responsables de la ciberseguridad de sus productos durante todo el ciclo vital de dichos productos.
  • los consumidores reciban información adecuada sobre los productos que compran y usan.

Riesgos de la ciberseguridad

Los ciberataques pueden traspasar en pocos minutos las fronteras del mercado interior. Por ello, la normativa aborda dos problemas.

  1. El bajo nivel de ciberseguridad de muchos de estos productos y, lo que es más importante, el hecho de que muchos fabricantes no ofrezcan actualizaciones que solventen las lagunas de seguridad. Mientras que los fabricantes de productos con elementos digitales sufren ocasionalmente de una mala imagen cuando sus productos no son seguros, los costes de las brechas de seguridad recaen principalmente sobre los usuarios profesionales y los consumidores. Esto limita la predisposición de los fabricantes para invertir en diseño y desarrollo seguros y elaborar actualizaciones de seguridad.
  2. Por otro lado, a menudo se observa que las empresas y los consumidores no cuentan con información suficiente y precisa a la hora de elegir productos seguros. Y a menudo no saben cómo asegurarse de que los productos que han adquirido están configurados de forma segura.

La nueva normativa aborda estos dos aspectos, al tratar tanto la cuestión de las actualizaciones como la de proporcionar información actualizada a los clientes.

Principios de la Ley de Ciberresiliencia

La Ley de Ciberresiliencia establece que solo se pueden comercializar productos con elementos digitales si cumplen determinados requisitos básicos en materia de ciberseguridad. Exige a los fabricantes incluir la ciberseguridad en la concepción y el desarrollo de los productos con elementos digitales.

En lo tocante a la información y las instrucciones para el usuario final, la Ley de Ciberresiliencia exige de los fabricantes transparencia respecto a los aspectos de ciberseguridad que se deben comunicar a los clientes. 

Un elemento clave de la propuesta es la cobertura de todo el ciclo vital de los productos, particularmente, la obligación de fabricantes y diseñadores de establecer un periodo de soporte que coincida con el tiempo de uso previsto del producto y proporcionar actualizaciones de seguridad durante dicho periodo.

Estas obligaciones se aplican a todos los agentes económicos, desde los fabricantes hasta los comerciantes e importadores, en relación con la comercialización de productos con elementos digitales.

Sobre la base del nuevo marco legal para la legislación sobre productos en la UE, los fabricantes se someten a un proceso de valoración de la conformidad para demostrar que cumplen los requisitos establecidos para un determinado producto.

Esto se puede realizar mediante una autoevaluación o una evaluación de la conformidad por parte de un tercero, dependiendo del riesgo que implique el producto en cuestión.

Una vez demostrada la conformidad del producto con los requisitos aplicables, los fabricantes y diseñadores emiten una declaración de conformidad con la UE y pueden aplicar el marcado CE. El marcado CE indica la conformidad de los productos con elementos digitales con la Ley de Ciberresiliencia, lo que les permite ser comercializados libremente en el mercado interior de la Unión Europea.

La Ley de Ciberresiliencia se publicó en noviembre de 2024 en el Diario Oficial de la Unión Europea y, previsiblemente, será de obligado cumplimiento a partir de diciembre de 2027. Hasta entonces, una ampliación de la Directiva sobre equipos radioeléctricos (RED) debe abordar aspectos para la mejora de la ciberseguridad, como mínimo, en los equipos radioeléctricos. El plazo actual para el comienzo de su aplicación es el 1 de agosto de 2025 (in this way it is clear that there is an obligation of compliance with RED meanwhile the european law of Ciberresilience come into effect). A continuación encontrarán más información al respecto.

Ventajas de la Ley de Ciberresiliencia

La Ley de Ciberresiliencia aporta ventajas considerables para los distintos interesados. Pronto, las empresas solo deberán acatar un único paquete de normas de ciberseguridad en toda la UE.

La legislación reducirá los incidentes de ciberseguridad y, por tanto, los costes asociados a su gestión y el daño reputacional para las empresas. Con ello, se reforzaría la confianza de los consumidores y clientes comerciales en las empresas y los productos, incrementando la demanda de productos con elementos digitales tanto dentro como fuera de la UE.

Al mismo tiempo, los usuarios y consumidores se beneficiarán de una mayor información y de instrucciones de uso más claras a la hora de elegir un producto con elementos digitales. Debido a la reducción de los riesgos para la seguridad y de los incidentes, los consumidores y ciudadanos disfrutarán de una mejor protección de sus derechos fundamentales, tales como la protección de sus datos y de su intimidad.

La Ley de Ciberresiliencia también presenta el potencial de convertirse en una referencia internacional más allá del mercado único de la UE. Las normas europeas basadas en esta ley facilitarán su aplicación y supondrán una ventaja para los fabricantes de la UE en los mercados globales.

Productos no conformes

Los Estados miembros deben designar autoridades de vigilancia del mercado que serán responsables de la aplicación de las obligaciones derivadas de la Ley sobre Ciberresiliencia.

En caso de incumplimiento, las autoridades de vigilancia del mercado pueden exigir a las empresas la subsanación de dicho incumplimiento y la eliminación del riesgo. Pueden prohibir o restringir la comercialización de un producto o bien exigir la retirada de dicho producto. Cada una de estas autoridades estará en situación de imponer sanciones económicas a las empresas que no cumplan la normativa. La Ley de Ciberresiliencia establece los límites máximos para las multas previstas en las leyes nacionales para los casos de incumplimiento.

Interacción con otras normas

La Ley de Ciberresiliencia pretende armonizar el panorama regulador de la UE introduciendo requisitos de ciberseguridad para productos con elementos digitales y evitando el solapamiento de los requisitos establecidos por las distintas normativas. Con ello se incrementa la seguridad legal para empresas y usuarios en toda la Unión, además de mejorar la armonización del mercado interior europeo y, con ello, establecer mejores condiciones para las empresas que deseen introducirse en el mercado de la UE.

La Ley de Ciberresiliencia completa particularmente la Directiva NIS-2, aprobada recientemente por el Parlamento Europeo y el Consejo. La Directiva NIS-2 introduce requisitos de ciberseguridad, incluidas medidas de seguridad, en la cadena de suministros y obligaciones de notificación para entidades esenciales e importantes, con el fin de aumentar la resiliencia de los servicios que prestan.

Un mayor nivel de ciberseguridad para productos con elementos digitales facilitaría a las entidades recogidas por la Directiva NIS-2 el cumplimiento de las normas, incrementando la seguridad en toda la cadena de suministro.

La Ley de Ciberresiliencia también se aplica a los equipos radioeléctricos recogidos en el ámbito de aplicación del Reglamento Delegado con arreglo a la Directiva sobre equipos radioeléctricos 2014/53/UE (Directiva RED). La Ley de Ciberresiliencia está en sintonía con los requisitos del Reglamento Delegado de la Directiva RED, incluyendo los estándares específicos requeridos.

Directiva sobre equipos radioeléctricos 2014/53/UE (RED)

Los dispositivos y juguetes inteligentes, las cámaras inteligentes y otros dispositivos radioeléctricos conectados en red, tales como los teléfonos móviles, portátiles, adaptadores (dongles), sistemas de alarma y domótica son algunos ejemplos de equipos que, al conectarse a internet, conllevan el riesgo de sufrir accesos no autorizados y violación de la privacidad. Además, los dispositivos radioeléctricos portátiles (p. ej., anillos, brazaletes, clips de bolsillo, auriculares, monitores de actividad, etc.), pueden supervisar y guardar una serie de datos delicados del usuario durante un periodo prolongado (p. ej., ubicación, temperatura, presión sanguínea, frecuencia cardíaca) y transferirlos, no solo a través de internet, sino mediante tecnologías de comunicación de corta distancia que no son seguras. La Directiva sobre equipos radioeléctricos 2014/53/UE5 (RED) establece un marco legal para la comercialización de equipos radioeléctricos en el mercado interior (Figura 2). Recoge las condiciones vinculantes para la comercialización de equipos radioeléctricos y para el marcado CE cuando se requiere la conformidad de un producto con la Directiva RED. RED se aplica a los equipos eléctricos y electrónicos que pueden usar el rango de frecuencias con fines de comunicación y/o radiolocalización. Los Estados miembros, a través de sus autoridades nacionales de vigilancia del mercado, disponen de medidas correctivas para los dispositivos radioeléctricos no conformes.

© Würth Elektronik | Figura 2. Requisitos de la Directiva RED para productos radioeléctricos.

En el artículo 3 de la Directiva RED se establecen los requisitos fundamentales que deben cumplir los equipos radioeléctricos comercializados en la Unión Europea. En el artículo 3, apartado 1, letra a) se especifican los requisitos básicos relativos a la salud y la seguridad; en el artículo 3, apartado 1, letra b), los requisitos básicos relativos a la compatibilidad electromagnética y en el artículo 3, apartado 2, los requisitos básicos relativos al uso efectivo y eficiente del espectro radioeléctrico. Además, el artículo 3, apartado 3 prevé requisitos básicos adicionales aplicables a aquellas categorías o clases de equipos radioeléctricos definidos en las normativas delegadas correspondientes de la Comisión.

Obligatoriedad de las nuevas normas de ciberseguridad a partir de agosto de 2025

En el artículo 3, apartado 3, de la RED se definen los nuevos requisitos de ciberseguridad para los equipos radioeléctricos. Se trata de los tres puntos siguientes del artículo 3, apartado 3 (Figura 3):

  • 3(3)(d) debe garantizarse la protección de la red,
  • 3(3)(e) debe haber salvaguardias que garanticen la protección de los datos personales y de la privacidad,
  • 3(3)(f) debe garantizarse la protección contra el fraude.

La nueva serie de normas EN 18031 para la ciberseguridad en los equipos radioeléctricos (RED) supone una ayuda en el cumplimiento de los requisitos de ciberseguridad en los equipos radioeléctricos.

© Würth Elektronik | Figura 3. Requisitos de ciberseguridad de la RED para los equipos radioeléctricos.

EN 18031 - Ciberseguridad en equipos radioeléctricos

Con la introducción de nuevos requisitos mediante el Reglamento Delegado 2022/30 de la Directiva sobre equipos radioeléctricos 2014/53/UE, el sector se enfrenta a desafíos importantes. La nueva normativa EN 18031, compuesta por las normas EN 18031-1, EN 18031-2 y EN 18031-3, pretende ayudar a los fabricantes a demostrar la conformidad de sus productos con los nuevos requisitos, más exigentes. A partir del 1 de agosto de 2025, los equipos pertinentes deben cumplir estas especificaciones vinculantes (Figura 4).

La normativa EN 18031 especifica los requisitos de la Directiva sobre equipos radioeléctricos en materia de ciberseguridad y consta de tres partes:

  • EN 18031-1 dirigida a equipos radioeléctricos con conexión a internet. La parte 1 de esta norma establece procedimientos de comprobación y condiciones para demostrar el cumplimiento del artículo 3, apartado 3, letra d) de la RED por parte de equipos radioeléctricos aptos para internet. Requiere que los equipos radioeléctricos no afecten negativamente a las redes o su funcionamiento.
  • EN 18031-2 aborda los equipos radioeléctricos que procesan datos. Con arreglo a la parte 2 de la norma, se comprueban los equipos radioeléctricos que procesan datos con relación al artículo 3, apartado 3, letra e) de la RED, para la protección de los datos personales.
  • La norma EN18031-3 se centra en los equipos radioeléctricos que procesan valores financieros Define los procesos de comprobación para el artículo 3, apartado 3, letra f) de la RED, con los que se comprueban las funciones de protección contra el fraude.

El Cenelec, encargado de la normativa, presentó a la Comisión de la UE la serie de normas EN 18031 en octubre de 2024, para su examen y armonización. 

© Würth Elektronik | Figura 4 A partir del 1 de agosto de 2025, todos los equipos radioeléctricos comercializados en la UE deberán cumplir las especificaciones de ciberseguridad de la RED. 

Fundamentos de la norma EN 18031

La norma EN 18031 ofrece un marco comprehensivo y flexible para la seguridad de los equipos radioeléctricos. Tiene en cuenta la complejidad y versatilidad de los equipos modernos y facilita a los fabricantes pautas claras para la aplicación de medidas de seguridad serias. El portal Cyber Regulierung [3] ofrece un breve resumen. La norma EN 18031 ha sido elaborada por Cenelec por encargo de la UE y, en octubre de 2024, se presentó a la Comisión de la UE para su examen. Mientras no se haya producido la armonización de la norma, los productos deberán ser certificados por proveedores de servicios de pruebas acreditados.

Los fundamentos relevantes, de conformidad con la regulación sobre ciberseguridad, son:

  • Seguridad desde el diseño (Security by Design): los aspectos de seguridad deben ser considerados desde el proceso de diseño.
  • Análisis estructurado de las amenazas: la norma EN 18031 recomienda emplear el modelo STRIDE. Dicho modelo ayuda a los fabricantes a reflexionar de manera sistemática sobre posibles amenazas, observando seis categorías de amenazas: suplantación, manipulación, repudio, revelación de información, denegación de servicio y elevación de privilegios.
  • Categorización de las medidas de seguridad: la norma divide los requisitos de seguridad en cinco categorías principales:
    - Identificación: detección de los riesgos para la seguridad
    - Protección: impedir o limitar los incidentes de seguridad
    - Detección: seguimiento de los incidentes de seguridad
    - Reacción: actuación adecuada en caso de detectarse un incidente
    - Recuperación: recuperación tras un incidente de seguridad
  • Activos: la norma introduce el término «activos» para definir los objetivos principales de las medidas de seguridad. Este término contiene los conceptos: activos de red, activos de seguridad, activos de protección de datos y activos financieros. Este enfoque ayuda a los fabricantes a desarrollar medidas de protección adecuadas para las partes principales de su producto.
  • Mecanismos: la norma emplea el término «mecanismos» para indicar requisitos de seguridad específicos. Este enfoque permite aplicar de manera flexible los requisitos a distintos tipos de dispositivos y situaciones de uso.
  • Métodos prácticos de valoración: la norma ofrece herramientas concretas para evaluar la conformidad:
    - Los árboles de toma de decisiones ayudan a determinar si un requisito concreto es aplicable
    - Las especificaciones para la documentación técnica muestran qué información deben facilitar los fabricantes
    - Las normas para las pruebas de seguridad indican cómo se puede comprobar la aplicación de los requisitos

En conjunto, la norma EN 18031 debe ofrecer un enfoque equilibrado y práctico para mejorar la seguridad de los aparatos radioeléctricos. La norma reconoce que no existe una solución única para todos los equipos y, en su lugar, ofrece un marco para que los fabricantes puedan desarrollar medidas de seguridad adecuadas para sus productos específicos.

Gerhard Stelzer estudió Ingeniería Eléctrica y de la Información en la Universidad Técnica de Múnich, y se graduó allí como Ingeniero. Inició su vida laboral en el desarrollo de tecnología de comunicación óptica de alta velocidad en Siemens AG y en 1995 se pasó al periodismo especializado, incorporándose al medio «Elektronik». Desde 2021 ocupa el cargo de Editor Técnico Senior en Würth Elektronik eiSos.

Jan NorderPascal Baranger de Würth Elektronik estarán en el escenario de la Evertiq Expo Kraków el 28 de Mayo de 2025, donde tendrán una presentación titulada “Asegurando el futuro: navegando las regulaciones de ciberseguridad en el Internet de las Cosas (IoT)”. ¿Te interesa la ciberseguridad? La edición de este año de la feria Polaca estará particularmente enfocada en ciberseguridad y seguridad en general. ¡El registro para el evento está abierto!

Anuncio
Anuncio
Cargar más noticias
© 2025 Evertiq AB May 13 2025 7:50 pm V24.1.3-1