Ciberseguridad en IoT: Obligatoria a partir de agosto de 2025

¿Por qué es tan crítica la ciberseguridad?

"Hoy en día, todos tenemos un teléfono, una computadora, un reloj, todo conectado a internet. Incluso un microondas, una cafetera, un lavavajillas o un televisor pueden estar en línea", dijo Pascal Baranger de Würth Elektronik. Junto con Jan Norder, Baranger habló en la Evertiq Expo de este año en Cracovia sobre los próximos cambios en las regulaciones de ciberseguridad de la UE para el Internet de las Cosas (IoT).

Como señalaron los representantes de Würth Elektronik, el número de dispositivos conectados aumenta cada año, y también lo hace el costo del cibercrimen. Para 2025, se espera que las pérdidas globales por ciberataques superen los 10 billones de euros.

Los ponentes relataron un notorio incidente de 2017 en Las Vegas, donde los piratas informáticos obtuvieron acceso a la red de un casino a través de un sensor de acuario que no había sido debidamente asegurado.

"Como nos gusta decir, un sistema es tan seguro como su eslabón más débil", dijo Norder.

Nuevas regulaciones de la UE: RED y la Ley de Resiliencia Cibernética

La presentación se centró en dos regulaciones fundamentales de la UE: la Directiva de Equipos Radioeléctricos (RED) y la Ley de Resiliencia Cibernética. Ambas elevarán el listón de la ciberseguridad para los dispositivos conectados a internet.

A partir del 1 de agosto de 2025, la directiva RED exigirá que todos los equipos de radio vendidos en la UE cumplan con tres nuevos requisitos de ciberseguridad (Artículos 3.3 D-F):

• 3.3 D: Protección de la red
• 3.3 E: Protección de datos personales
• 3.3 F: Protección contra el fraude

"A partir de esta fecha, cualquier dispositivo conectado por radio introducido en el mercado de la UE debe cumplir estos requisitos. Esto no es una sugerencia, es una obligación legal", enfatizó Baranger.

La Ley de Resiliencia Cibernética, que entrará en vigor en diciembre de 2027, va aún más allá, extendiendo las obligaciones de ciberseguridad a una gama más amplia de productos y servicios. Requerirá evaluaciones de riesgo en cada fase del ciclo de vida de un producto, mitigación rápida de vulnerabilidades y actualizaciones de seguridad regulares.

Los ponentes también señalaron que la UE está liderando el camino a nivel mundial en lo que respecta a las regulaciones de ciberseguridad. "En EE. UU., solo dos estados, California y Oregón, tienen leyes similares. En África, ninguna", explicó Norder.

Esta brecha regulatoria podría ser una grave amenaza, lo que podría impedir que los exportadores de ciertos países entren en el mercado de la UE si sus productos carecen de las salvaguardas de ciberseguridad requeridas.

De la teoría a la práctica

¿Cómo se puede evaluar si un dispositivo entra dentro de las nuevas normas? Los representantes de Würth Elektronik presentaron un árbol de decisiones disponible en las normas de la UE EN 18031-2 y EN 18031-3. Estas normas, publicadas en enero de 2025 (y disponibles por unos 420 € cada una), pueden utilizarse repetidamente como guías de implementación.

"Es como una lista de verificación", explicó Baranger. "Si su dispositivo se conecta a internet y procesa o almacena datos personales o financieros, debe implementar un nivel adecuado de protección, demostrarlo y documentarlo".

Para ilustrar, los ponentes dieron un ejemplo: un walkie-talkie que no se conecta a internet ni procesa datos personales no estaría sujeto a las nuevas normas. ¿Pero una Raspberry Pi utilizada en un hogar inteligente? En absoluto. "Incluso si es solo una aplicación de interruptor de luz, si contiene la dirección de correo electrónico de un usuario, está sujeta al artículo 3.3 E", explicó Baranger.

¿Y si se acaba el tiempo?

Las normas se publicaron en enero de 2025, lo que deja a las empresas solo unos meses para adaptarse. "En muchos países, incluso en Alemania, los fabricantes están sorprendidos. En Bulgaria, muchos ni siquiera habían oído hablar de estos cambios", dijo Norder.

Las pruebas de cumplimiento en laboratorios ya son un desafío debido a la abrumadora demanda y la limitada disponibilidad. "¿Todavía se puede lanzar un producto antes del 1 de agosto, cuando las nuevas normas no se aplicarán? ¿Pero qué pasará después?", se preguntaron los ponentes.

Para ayudar, Würth Elektronik presentó sus soluciones centradas en la ciberseguridad. Sus módulos Wi-Fi y Bluetooth Low Energy permiten:

• Arranque seguro
• Almacenamiento seguro de datos
• Conexiones seguras
• Actualizaciones inalámbricas (Over‑the‑air, OTA) con seguridad verificada

La empresa también presentó su solución estrella, el módulo Cordelia 1, desarrollado con Crypto Quantique. Su sistema QuarkLink permite el aprovisionamiento sin contacto, un método totalmente automatizado para insertar contraseñas y datos de configuración de forma segura, sin intervención humana. "Sin intermediarios, sin riesgo de exposición de contraseñas", enfatizó Baranger.

Para los fabricantes de IoT en Europa, ha llegado la fecha límite final. ¿El precio de quedarse atrás? La posible exclusión del mercado de la UE.

"La ciberseguridad ya no es un lujo, es como los cinturones de seguridad en un coche. A partir del 1 de agosto, será obligatoria", concluyeron los ponentes.

Jan Norder y Pascal Baranger de Würth Elektronik hablaron en la conferencia celebrada durante la Evertiq Expo Cracovia 2025. La próxima edición de este evento líder de la industria electrónica en Polonia tendrá lugar el 7 de mayo de 2026 en CKF13, calle Fabryczna, Cracovia. Regístrate y reserva tu lugar ahora.