Machine Translated by Google

Proteja los dispositivos de IoT

Guía de mejores prácticas de protección
Machine Translated by Google

Contenido

Introducción ................................................. ................................................. ......3

Audiencia ................................................. ................................................. .................... 4

¿Qué es un dispositivo IoT?................................................ .... ................................................. ....... ...... 4

Recomendaciones generales................................................ ...................................5

Política de seguridad de IoT ................................................ ........................................6

Requisitos para proveedores................................................. ................................................8

Fortalecimiento de los dispositivos IoT................................................ ..... ...................................................11

Descripción general de los dispositivos IoT .................................. ................................13

Control de acceso ................................................ .................................................... 15

Segmentación de la red ................................................ .. ................................17

Actualizaciones y gestión de vulnerabilidades................................................ .. .................18

Registro y seguimiento................................................. ....................................................20

Criptografía y comunicación en el uso de dispositivos IoT .................................. . ..21

Tratamiento y supresión de datos ................................................ ................................22

Eliminación y reciclaje de dispositivos IoT ................................................. . ................ 23

Lista de referencia ................................................ .................................................... .25

Anexo 1 ................................................ ................................................. .............27

Kastellet 30
2100 Copenhague Ø
Teléfono: + 45 3332 5580
Correo electrónico: cfcs@cfcs.dk

1ª edición octubre 2023

2
Machine Translated by Google

Introducción
La cantidad de dispositivos diferentes que pueden conectarse e intercambiar datos con otros dispositivos y sistemas a
través de Internet se ha disparado en los últimos años. Los dispositivos, también llamados Internet de las Cosas o
dispositivos IoT, pueden ser desde cargadores y termostatos hasta cámaras de vigilancia. Los dispositivos IoT
ofrecen una amplia gama de beneficios ya que pueden automatizar y agilizar tareas, pero deben estar asegurados
continuamente para evitar que se deterioren.
la ciberseguridad de la organización.

En la evaluación de amenazas Ciberamenaza contra dispositivos IoT (2023), el CFCS evalúa que la amenaza de
ciberataques contra dispositivos IoT es MUY ALTA. La amenaza se ve acentuada por el hecho de que los dispositivos
IoT en Dinamarca están continuamente expuestos a intentos de ciberataques, y que es muy probable que esto
continúe a largo plazo. Los dispositivos IoT suelen ser objetivos atractivos, ya que suelen estar menos protegidos que los
ordenadores normales y, por lo tanto, son más fáciles de piratear.
Particularmente vulnerables son los dispositivos IoT con vulnerabilidades conocidas que no están protegidos
adecuadamente (Centro de Seguridad Cibernética 2023a).

Por lo tanto, esta guía incluye recomendaciones concretas sobre cómo las organizaciones pueden proteger los
dispositivos de IoT de acuerdo con las mejores prácticas.

La guía es relevante para todas las organizaciones que tienen dispositivos IoT en el lugar de trabajo, independientemente
de si los dispositivos desempeñan un papel importante, como estaciones de carga para los coches de la empresa o
altavoces controlados por voz que reproducen música durante la pausa del almuerzo. La guía complementa los
principios básicos de seguridad cibernética de la guía del CFCS "Ciberdefensa que funciona".
(Centro de Seguridad Cibernética 2023b).

No todos los dispositivos de IoT ni todos los proveedores de IoT pueden cumplir con todas las recomendaciones
mencionadas en esta guía. Esto se debe a que muchos dispositivos de IoT tienen una estructura muy simple.
El propósito de la guía es presentar las mejores prácticas de protección y permitir a las organizaciones
tomar decisiones informadas sobre el uso de dispositivos IoT por parte de su organización, y evitar
unidades que no se pueden asegurar.

En función de su propia evaluación de riesgos, la organización debe decidir qué requisitos de seguridad impone a sus
dispositivos IoT y qué medidas debe implementar.
Los requisitos de seguridad de la organización pueden significar que la organización deba excluirse de algunos
dispositivos de IoT cuya funcionalidad no puede cumplir con los requisitos.

La evaluación de amenazas "Ciberamenaza contra dispositivos IoT" y esta guía, así como la guía de tarjetas IoT, se han
elaborado en diálogo con las empresas danesas y el Consejo para la Seguridad Digital en el marco del "Acuerdo sobre una
ciberdefensa reforzada", y el contenido tiene, entre otras cosas, ha sido discutido con miembros de la red de seguridad TI de
Dansk Erhverv. CFCS agradece al Consejo Empresarial Danés, al Consejo para la Seguridad Digital y a los
miembros de la red de seguridad de TI del Consejo Empresarial Danés por la cooperación con respecto a las
publicaciones.

3
Machine Translated by Google

Audiencia
La guía contiene recomendaciones para dos grupos objetivo: gestión empresarial y de TI, así como
operación e implementación. En cada capítulo, los iconos indican a quién van dirigidas las recomendaciones.

Gestión empresarial y TI.

En esta guía, la gestión empresarial y de TI es la parte de la organización
cuya tarea es conocer las amenazas y posibles vulnerabilidades de los dispositivos IoT,
evaluar el riesgo y elaborar una política de IoT en base a ello. También es responsabilidad
de la gestión de TI que la política de IoT se implemente y se comunique a las partes
interesadas relevantes.
La política de IoT debe ser coherente con la evaluación de riesgos de la organización,
la legislación y los objetivos de la organización.

Operación e implementación
En esta guía, la operación e implementación es la parte de la organización responsable de la
adquisición, incluido el establecimiento de requisitos para los proveedores, la
configuración, la operación y la eliminación de dispositivos de IoT. También deben
proporcionar información a la gestión empresarial y de TI sobre cómo funciona la operación
e implementación de los dispositivos IoT en la organización.

¿Qué es un dispositivo IoT?

IoT es un término colectivo para todos los dispositivos que están conectados a Internet con el fin de, p. control
remoto. Por ejemplo, una cámara que puede identificar automóviles según las matrículas y recibir pagos por
estacionamiento o una impresora que un proveedor de TI puede reparar rápidamente mediante acceso remoto.
En esta guía, el término no cubre ordenadores, servidores o teléfonos comunes, así como tecnologías operativas como,
por ejemplo, sistemas de control industriales.

4
Machine Translated by Google

Recomendaciones generales
La organización debe considerar la seguridad durante todo el ciclo de vida de los dispositivos IoT. Tanto durante
la compra, instalación y operación, como también durante la eliminación. Esta guía cubre todas las etapas del ciclo
de vida del dispositivo IoT. El siguiente resumen muestra las recomendaciones generales de la guía, así como qué
recomendaciones pertenecen a cada etapa. Cada organización debería utilizar su propia evaluación de riesgos al
proteger los dispositivos de IoT.

Al comprar CFCS recomienda que la organización:

• tener una política de seguridad de IoT

• establece requisitos para los proveedores de dispositivos IoT y ­
sistemas
• tiene requisitos técnicos para los dispositivos IoT. En esto

La guía se convierte en requisitos técnicos para los dispositivos IoT.

tratados en los distintos capítulos. Por lo tanto, el Apéndice 1

recopila una descripción general de los requisitos a los que
CFCS recomienda que las empresas presten especial
atención al adquirir nuevos dispositivos IoT.

Configuración y operación CFCS recomienda que la organización:

• realiza el fortalecimiento de los dispositivos y sistemas de IoT •

tiene una descripción general de los dispositivos y sistemas de IoT
• tiene control sobre el acceso a los dispositivos IoT
• segmenta los dispositivos IoT del resto de la red de la
organización
• tener procesos para actualizaciones y abordar vulnerabilidades
en dispositivos y sistemas de IoT
• monitorea y registra estados, eventos y tráfico de red desde dispositivos
y sistemas de IoT
• cifra la comunicación de datos
• tener procesos para procesar y eliminar datos en dispositivos y
sistemas de IoT

Desecho CFCS recomienda que la organización:

• tener procesos para el reciclaje y eliminación de dispositivos

y sistemas de IoT

5
Machine Translated by Google

Política de seguridad de IoT

La organización debe tener una política de seguridad de IoT. El objetivo es garantizar una continuidad,
seguridad coherente y adecuada para el uso de dispositivos IoT. La política de IoT debe garantizar la uniformidad para que el
uso de IoT esté en línea con los objetivos y estrategias de la organización, la normativa en la materia y los requisitos
contractuales. La dirección es responsable de establecer el marco general para la seguridad de la organización, incluida la
seguridad de los dispositivos IoT. Es responsabilidad de la gestión de TI comprender las amenazas y vulnerabilidades al
usar dispositivos IoT, evaluar cuál es un nivel de riesgo aceptable al usar dispositivos IoT y, en base a esto, preparar una
política interna para el uso de IoT en la organización. También es responsabilidad de la gestión de TI que la política

implementado y difundido a los empleados relevantes.

La política debe garantizar que existan procesos implementados para garantizar que no haya dispositivos de IoT
que infrinjan, estén configurados incorrectamente o procesen datos incorrectamente. La política también debe prever la
determinación de quién debe evaluar y aprobar los nuevos dispositivos de IoT, así como
Asegurar que las unidades estén integradas y actualizadas en el sistema existente. requiere que
todos los grupos de empleados e individuos relevantes de la organización conocen sus funciones y áreas de
responsabilidad. También necesitan conocer su función y responsabilidades en una situación de emergencia en la que
estén involucrados dispositivos de IoT. Las funciones y responsabilidades deben describirse en la política de IoT.

La política debe enumerar los requisitos de la organización para los datos hacia y desde dispositivos IoT, incluidos
qué datos pueden recopilar las unidades. Algunos dispositivos de IoT recopilan datos confidenciales a los que sólo las
personas relevantes deberían tener acceso. Es tarea de la organización evaluar qué datos son sensibles en función de la
evaluación de riesgos de la organización y de cualquier obligación legal en el área. Para algunas organizaciones, los datos
de las cámaras de vigilancia de su plataforma de producción son datos confidenciales, mientras que la mayoría de las
organizaciones consideran que los datos personales son particularmente dignos de protección.

La organización también debe decidir dónde se pueden almacenar y transmitir los datos. Si los datos se transmiten sin
protección entre un dispositivo IoT y los sistemas subyacentes, por ejemplo en el proveedor, existe el riesgo de que
personas no autorizadas puedan acceder a ellos.
los datos.

Además, los datos de algunos dispositivos IoT pueden procesarse en países donde la organización no puede controlar quién
tiene acceso a sus datos. Las empresas de ciertos países están sujetas a una legislación que otorga a las autoridades
gubernamentales del país el poder de recopilar información de las empresas de ese país. La organización debe evaluar
si el procesamiento de datos en países con dicha legislación puede suponer un riesgo para la organización.

La organización debe tener control sobre si se aplican leyes, requisitos de autoridad o estándares especiales, lo que
puede tener un impacto en los requisitos de seguridad que la organización debe establecer para los dispositivos de IoT.
Por ejemplo, pueden existir requisitos especiales para las certificaciones de equipos que deben utilizarse en un área
comercial específica.

La política de IoT debe ser aprobada y documentada por la administración para verificar que sea consistente con la
dirección de la administración y los objetivos organizacionales.

6
Machine Translated by Google

CFCS recomienda que la organización tenga una política de seguridad de IoT.

La política debe ser aprobada por la gerencia y documentada. La política de la organización
para la seguridad de IoT debe basarse en la evaluación de riesgos de la
organización. La política debe incluir:

Los requisitos de la organización para los datos de los dispositivos IoT.

• Qué tipo de datos pueden recopilar los dispositivos IoT
• Dónde se pueden almacenar los datos de los dispositivos IoT
• Cómo se deben proteger los datos de los dispositivos IoT cuando se transfieren
• En qué países se pueden procesar los datos de la organización procedentes de dispositivos IoT

Los requisitos de seguridad de la organización para los dispositivos IoT

Los requisitos de la organización para el proveedor de IoT.

La distribución de roles y responsabilidades de la organización para

• evaluación, aprobación y uso de dispositivos y sistemas de IoT
• acceso a datos en y desde dispositivos IoT
• la preparación de la organización en relación con un incidente en el que se encuentren dispositivos IoT
involucrado

La política de seguridad de IoT de la organización debe ser evaluada y reevaluada por la dirección al menos una vez al año o si
se producen cambios significativos.

7
Machine Translated by Google

Requisitos del proveedor

La organización debe establecer requisitos de seguridad para los proveedores de dispositivos y sistemas de
IoT y garantizar continuamente que se cumplan. Al establecer requisitos para el proveedor y garantizar su
cumplimiento, la organización garantiza que el proveedor cumpla con los requisitos de seguridad de
la organización. Es crucial para la organización prevenir posibles violaciones de seguridad en el
propio sistema de la organización.

CFCS recomienda que el proveedor de IoT pueda documentar una variedad de información, incluido cuánto tiempo
el dispositivo de IoT recibe actualizaciones de seguridad, la política de pruebas de seguridad del proveedor
y qué datos recopila el proveedor. La información ayuda a que la organización conozca el nivel de seguridad del
proveedor y le permite elegir un proveedor que cumpla con los requisitos de seguridad de la organización.

La organización debe garantizar que los proveedores prueben la seguridad y actualicen sus
productos, incluidos hardware y software, cuando tengan conocimiento de vulnerabilidades.
La organización debe investigar si las pruebas de seguridad del proveedor son apropiadas en relación con las
necesidades de seguridad que tiene la organización, incluso en relación con la minuciosidad y la frecuencia
con la que el proveedor realiza pruebas de seguridad. La organización también debe examinar si el período de
tiempo que tiene el proveedor desde que reconoce una vulnerabilidad hasta que responde a ella es
apropiado en relación con la evaluación de riesgos de la organización.

En el caso de que se apliquen leyes especiales, requisitos de autoridades o estándares en el área

comercial donde se va a utilizar un dispositivo IoT, la organización debe garantizar que el proveedor
pueda cumplir con los requisitos.

Como regla general, los proveedores no deberían tener acceso ilimitado a los datos de la organización desde los
dispositivos IoT. Las excepciones deben requerir una necesidad empresarial aprobada por la dirección y deben
basarse en la evaluación de riesgos de la organización.

Al elegir dispositivos IoT, puede ser importante investigar si los dispositivos son fabricados por un fabricante
de equipos originales (OEM) y están incluidos en diferentes productos o
vendido bajo varias marcas. Si este es el caso, la misma tecnología y posibles vulnerabilidades se pueden
encontrar en diferentes dispositivos IoT (IPVM 2022).

CFCS recomienda que el proveedor de IoT pueda documentar el país de origen de los componentes del equipo,
así como la ubicación geográfica de la plataforma de almacenamiento en la que se almacenan los datos
fuera de la organización. Estos requisitos son relevantes para las organizaciones que han seleccionado en su
política de seguridad de IoT en qué países se pueden procesar sus datos. Los componentes deben considerarse
aquí tanto hardware como software, así como componentes que contienen firmware.

Además, la organización debe saber si un proveedor de un dispositivo IoT está cubierto por las regulaciones de
exportación de otros países. Esto puede afectar la capacidad del proveedor para entregar, respaldar y
actualizar el producto. El desafío puede surgir, por ejemplo, si un proveedor está registrado en la denominada
Lista de Entidades1 (BIS 2023) de la Oficina de Industria y Seguridad de EE. UU. (BIS). La lista de entidades es
una lista de restricciones comerciales de Estados Unidos contra, entre otras cosas, proveedores. Un proveedor
que esté en esta lista podría tener dispositivos IoT

1 La Lista de Entidades es una lista de restricciones comerciales de Estados Unidos contra las llamadas entidades, es decir. personas extranjeras, institutos
de investigación, gobiernos, organizaciones privadas, empresas y otros tipos de personas jurídicas. Las restricciones pueden significar que las empresas
estadounidenses no puedan exportar servicios o productos hacia o desde entidades que figuran en la Lista de Entidades.

8
Machine Translated by Google

con chips y software que se compraron en los EE. UU. antes de que entraran en vigor las restricciones comerciales
estadounidenses, pero que, debido a las restricciones comerciales, ya no es posible actualizarlos.

Es importante que la organización cuente con un proceso formalizado para manejar el diálogo con el proveedor
de dispositivos IoT, que incluya tanto el diálogo como la comunicación diaria.
así como la distribución de responsabilidades en caso de incidentes de seguridad y ante una situación de
emergencia. Un proceso formalizado ayuda a garantizar que tanto la organización como el proveedor
tengan claro qué obligaciones y acciones deben llevar a cabo cada una de las partes en caso de incidentes.

CFCS recomienda que la organización establezca requisitos de seguridad para el proveedor.

de dispositivos y sistemas de IoT. La organización debe garantizar que el proveedor
del documento de dispositivos y sistemas de IoT:

• país de origen de los componentes del equipo

• dónde se almacenan los datos si se almacenan fuera de la organización. Si
La política de seguridad de IoT de la organización requiere países en los que no se pueden procesar
datos, entonces el proveedor debe informar sobre la ubicación geográfica en la plataforma de
almacenamiento.
• qué interfaces y mecanismos de interacción están presentes en el dispositivo IoT2
• la criptografía utilizada en el dispositivo IoT
• Modelo y versión del dispositivo IoT
• cuánto tiempo es compatible el dispositivo IoT
• la política del proveedor para las pruebas de seguridad •
la política del proveedor para las vulnerabilidades, incluido el período de tiempo desde que se descubrió la vulnerabilidad
para la comunicación con los clientes

• actualizaciones y dónde descargarlas

• qué datos recopila, almacena y comunica el dispositivo IoT

El proveedor de dispositivos y sistemas de IoT debe:

• no tener acceso a los dispositivos IoT de la organización sin el conocimiento de la organización

• llevar a cabo pruebas de seguridad continuas del software y hardware de sus productos • comunicar
cuando se publiquen nuevas actualizaciones de seguridad
• publicar instrucciones adecuadas para instalar actualizaciones de seguridad
• gestionar las vulnerabilidades reconocidas
• establecer un método de distribución seguro para las actualizaciones de seguridad

La organización debe seleccionar proveedores que puedan cumplir con los requisitos de seguridad establecidos
para el manejo de datos de dispositivos IoT en la política de IoT de la organización.

La organización debe tener un proceso formalizado para manejar el diálogo y la distribución de

responsabilidades con el proveedor de dispositivos IoT en caso de incidentes de seguridad y en una
situación de emergencia.

2 Las interfaces cubren tanto interfaces lógicas, por ejemplo VLAN, como interfaces físicas como USB.
9
Machine Translated by Google

La organización debe garantizar continuamente que se cumplan los requisitos de seguridad de la organización para
el proveedor.

Para más información sobre la gestión de proveedores, lea "Lineamientos de relación con proveedores"
(Centro de Ciberseguridad y Agencia Danesa para la Digitalización 2022).

10
Machine Translated by Google

Endurecimiento de los dispositivos IoT

Una vez que la organización haya adquirido un dispositivo de IoT, la organización debe reforzarlo. El
propósito de endurecer el dispositivo es reducir la superficie de ataque potencial del dispositivo. El
endurecimiento es un proceso que incluye una serie de medidas de seguridad, todas las
cuales contribuyen a que el dispositivo sea más robusto contra ataques. Puede, entre otras cosas, Se realiza
desactivando protocolos de red que no se deben utilizar, por ejemplo el protocolo telnet3 , que en algunos
casos puede utilizarse para llevar a cabo ciberataques contra dispositivos IoT.

Antes de realizar la compra, la organización debe haber decidido si es importante que el dispositivo IoT
esté conectado a Internet. Hace que el dispositivo sea mucho más seguro al no estar conectado
a Internet. CFCS recomienda que se apaguen todas las interfaces, protocolos, funciones, hardware y software
innecesarios. Esto también se aplica a los dispositivos que están fuera de línea.
Esta es una forma de reducir el riesgo de que se exploten las vulnerabilidades.

También es importante que solo se pueda acceder a las interfaces físicas si es necesario. Por ejemplo
una organización puede tener una cámara de vigilancia monitoreando un vestíbulo de acceso público.
Si la organización no quiere utilizar el puerto USB de la cámara deberá desactivarlo. Un puerto USB
abierto y no utilizado puede proporcionar acceso no deseado a la información de la organización.
red, por ejemplo insertando una llave USB infectada con malware en la cámara.

Una forma importante de proteger los dispositivos IoT es limitando la cantidad de información que se puede
obtener de los dispositivos. Existen herramientas que pueden escanear y recopilar metadatos de todos
los dispositivos conectados a Internet y que hacen que los datos estén disponibles públicamente en sitios web.
Estos metadatos de fácil acceso pueden revelar vulnerabilidades, como datos desactualizados.
versiones de software.

La organización debe ser consciente de si los protocolos que se ejecutan en los dispositivos IoT están
desactualizados. La razón de esto es que la tecnología de escaneo de red ha madurado lo suficiente como para
informar qué servicios tienen vulnerabilidades. Algunos servicios pueden aceptar el uso de TLS versión 1.0, 1.1 y
1.2. Aquí es imprescindible configurar el dispositivo IoT para que solo acepte como mínimo TLS 1.2. Al mismo
tiempo, la organización puede comprobar si el dispositivo es compatible con la versión 1.3 de TLS
en una actualización. Si la organización tiene dispositivos IoT que, por ejemplo, solo admiten TLS versión 1.0 o
conexión WiFi con WEP, entonces la organización debe evaluar si vale la pena correr el riesgo de conectar el
dispositivo a la red de la organización, o si el dispositivo IoT debe ser aislado o reemplazado.

El refuerzo de los dispositivos IoT lo puede realizar tanto la organización como el proveedor del
dispositivo, si a la organización no le es posible acceder, por ejemplo, al software o a los protocolos.

Los dispositivos de IoT pueden ser propiedad de una empresa externa, como una empresa de seguridad, que
instala y monitorea equipos de vigilancia en la ubicación de la organización. Si este es el caso, la organización
debe garantizar que el propietario externo de IoT cumpla con los requisitos de la organización para reforzar
los dispositivos de IoT.

3 Telnet es un protocolo de red utilizado en redes para la comunicación de datos bidireccional.

11
Machine Translated by Google

CFCS recomienda que:

• todas las interfaces y protocolos que no se utilizan están deshabilitados. Interfaces cubre tanto las
interfaces lógicas, como VLAN, como las interfaces físicas, como USB, todas las
• funciones, hardware y software que no son necesarios se apagan, deshabilitan o desinstalan. Si es
necesario conectar el dispositivo a Internet, decida si el acceso remoto debería ser posible

• si el dispositivo IoT se conecta a través de WiFi, WEP y WPA están deshabilitados. Utilice WPA2 o WPA3
• las interfaces físicas solo ofrecen la funcionalidad prevista
• limitar la cantidad de información que se puede obtener del dispositivo cuando no está
conectado. Lo siguiente no debería estar disponible:
• Información sobre la configuración del dispositivo IoT
• Información sobre el sistema operativo del dispositivo IoT, incluido el kernel (kernel)4
• Información sobre la versión de software del dispositivo IoT

• activar la actualización automática si la evaluación de riesgos lo permite • el

software se ejecuta con la menor cantidad de derechos posibles
• Se impiden todos los accesos no seguros, p. telnet y http, a menos que se puedan implementar otras
medidas de seguridad, p. SSH y https

4 Un kernel es parte de un sistema operativo. Un kernel conecta el software con el hardware, asigna memoria, controla el
procesador y también controla la seguridad mediante, por ejemplo, el control de acceso.
12
Machine Translated by Google

Descripción general de los dispositivos de IoT

La organización debe mantener una descripción completa de los dispositivos de IoT. Los dispositivos IoT
desatendidos representan un riesgo de seguridad para la organización ya que, sin el conocimiento de la
organización, pueden constituir superficies de ataque vulnerables si no se protegen adecuadamente. Por eso es
importante una documentación adecuada de los dispositivos.

La descripción general ayuda a garantizar que se designe un propietario para cada unidad, que las unidades estén
actualizadas y que haya una descripción general completa de todas las unidades. La visión general es relevante,
por ejemplo, cuando los dispositivos IoT deben eliminarse de forma segura, dependiendo de qué datos
la unidad ha procesado5 .

Una documentación insuficiente puede llevar a situaciones en las que la organización no sea consciente de que hay
un dispositivo IoT que ya no está actualizado, o en las que el fabricante hace tiempo que dejó de dar soporte al
dispositivo. Un dispositivo olvidado puede ser vulnerable a ataques y, por lo tanto, hacer posible que los piratas
informáticos obtengan acceso a los datos del dispositivo y a otras redes de la organización.

Si la organización ha activado la actualización automática en un dispositivo IoT, la descripción general de la

versión se puede utilizar para investigar si realmente se han realizado actualizaciones.
La descripción general debe revisarse al menos una vez al año. El proveedor podrá informar en qué versión se está
ejecutando el dispositivo.

Si los dispositivos IoT son propiedad de una empresa externa, entonces la organización aún debe tener
la unidad documentada.

CFCS recomienda que la organización documente información sobre todos los

dispositivos IoT, incluyendo:

• nombre y modelo de cada dispositivo IoT

• La identificación única del dispositivo IoT

• fecha de instalación
• Dirección MAC del dispositivo IoT, si corresponde
• La ubicación física del dispositivo IoT.
• La ubicación lógica del dispositivo IoT en la red de la organización.
• firmware y otro software instalado en el dispositivo IoT, incluidas las versiones
• fecha de la última actualización
• el período de mantenimiento garantizado por el fabricante
• cualquier rutina de soporte interno o acuerdo de soporte con proveedores
• configuración de fábrica para el dispositivo y sistema individual
• qué datos procesa el dispositivo IoT

• propietarios de sistemas de dispositivos IoT y sistemas IoT subyacentes, incluso si

el dispositivo es propiedad de una empresa externa

La organización debe garantizar que la documentación esté actualizada y sea precisa, y que se actualice al
menos una vez al año o en caso de cambios importantes.

5
El tratamiento puede ser la recogida, registro, organización, sistematización, almacenamiento, adaptación o modificación,
recuperación, búsqueda, utilización, transmisión por transmisión, difusión o cualquier otra forma de encomienda, cotejo o
combinación, restricción, supresión o destrucción.
13
Machine Translated by Google

La organización debe documentar los flujos de datos hacia y desde los sistemas de IoT, incluidos
qué otros sistemas, redes y accesos utilizan los dispositivos de IoT.

14
Machine Translated by Google

Control de acceso
Proteger el acceso a los dispositivos de IoT es importante y la organización debe tener control sobre el acceso. El control
de acceso garantiza que solo los empleados autorizados puedan acceder a los dispositivos y a los sistemas subyacentes.

Los dispositivos IoT con control de acceso débil pueden ser, por ejemplo, dispositivos IoT con contraseñas débiles. Las
contraseñas débiles suponen un gran riesgo, ya que los piratas informáticos podrán descifrarlas más fácilmente mediante
ataques de fuerza bruta. Un ataque de fuerza bruta es un ataque en el que el hacker
Intenta repetidamente adivinar una contraseña combinando todas las letras, números y caracteres posibles que se pueden
incluir en una contraseña. Un programa de computadora puede hacer esto muy rápidamente si la contraseña no es lo
suficientemente larga. Para que sea más difícil adivinar las contraseñas, recomienda
Contraseñas CFCS largas de al menos 15 caracteres, así como autenticación multifactor cuando sea posible (Centro de
Seguridad Cibernética 2023d). Si la organización desea proteger aún más las contraseñas contra ataques de fuerza bruta,
puede ventajosamente tener caracteres alfanuméricos, es decir, números, letras, caracteres gráficos y caracteres
especiales, en la contraseña.

Otra forma en que los piratas informáticos pueden obtener acceso a los dispositivos IoT es si el dispositivo
tiene credenciales de inicio de sesión predefinidas que no se pueden cambiar. De este modo, los piratas informáticos tienen
la oportunidad de buscar los datos de inicio de sesión en Internet y probar suerte con los inicios de sesión estándar.
Por ejemplo, muchos enrutadores domésticos tienen un inicio de sesión estándar donde tanto el nombre de usuario
como la contraseña son "admin". Por lo tanto, CFCS recomienda que las organizaciones no adquieran dispositivos
IoT que tengan información de inicio de sesión predefinida que no se pueda cambiar.

Además del acceso digital, la organización debe considerar cómo asegurar el acceso físico al dispositivo IoT. Esto es para
garantizar que solo las personas relevantes puedan acceder a las pantallas y los mecanismos de interacción. Los mecanismos
de visualización e interacción significan, respectivamente, una pantalla en la que se muestra información y mecanismos donde
un usuario puede interactuar con el dispositivo IoT. Pueden ser botones, pantallas táctiles o similares. Las pantallas y los
mecanismos de interacción se pueden proteger, por ejemplo, protegiéndolos físicamente o mediante protección con
contraseña. Para los dispositivos de IoT en los que muchos usuarios utilizan pantallas y mecanismos de interacción,
como los teléfonos de puerta, la organización debe garantizar que solo las personas relevantes puedan realizar cambios
administrativos a través de pantallas y mecanismos de interacción.

Si los dispositivos IoT son propiedad de una empresa externa, entonces la organización debe garantizar que el control de
acceso del dispositivo cumpla con los requisitos de control de acceso de la organización.

15
Machine Translated by Google

CFCS recomienda que:

• los derechos de acceso a los dispositivos de IoT solo se otorgan a personas y sistemas relevantes,
cuyas funciones se describen en la política de seguridad de IoT
• Los dispositivos IoT no tienen información de inicio de sesión predefinida que no se pueda cambiar.
• Las contraseñas de los dispositivos IoT se cambian durante la configuración.
• la autenticación multifactor está activada siempre que sea posible
• los accesos de usuarios para dispositivos IoT tienen contraseñas únicas • los
accesos de usuarios no se comparten con otros usuarios • las
contraseñas para dispositivos IoT tienen al menos 15 caracteres
• cualquier acceso remoto a dispositivos IoT se realiza a través de una conexión segura
• Los dispositivos IoT y los sistemas subyacentes limitan el tiempo de intentos de inicio de sesión después de 3
intentos fallidos con los valores mínimos de 5, 15 y 30 minutos entre o después del número de intentos considerado
suficiente según las evaluaciones de riesgos
de las unidades

• Se bloquea el acceso a los dispositivos IoT después de 12 intentos fallidos o después de ese número
Pruebas que se consideran suficientes según la evaluación de riesgos de la organización.

Los dispositivos IoT están físicamente protegidos6:

• La organización debe considerar si debería haber protección física en los dispositivos de IoT, incluido el acceso a la red y
a los puertos USB, y de ser así, qué protección debería
ser

• Sólo las personas pertinentes deberían poder realizar tareas administrativas.

cambios a través de los mecanismos de visualización e interacción de los dispositivos IoT, por ejemplo mediante
protección física y/o mediante contraseña

Para obtener más información sobre la seguridad de las contraseñas, lea la guía del CFCS sobre seguridad de las contraseñas (Centro

para la Seguridad Cibernética 2023d).

6 Las recomendaciones de seguridad física se han elaborado en colaboración con PET.

dieciséis
Machine Translated by Google

Segmentación de redes
En la medida de lo posible, la organización debería segmentar los dispositivos IoT del resto de la red
de la organización. Al segmentar las redes, la organización reduce la probabilidad de que un posible
ataque se propague, y la segmentación puede facilitar el seguimiento y la reacción ante desviaciones de
la imagen normal.

La segmentación en subredes aisladas más pequeñas aumenta la seguridad, ya que se pueden

tener redes con diferentes medidas de seguridad. Por ejemplo, puede haber reglas para
qué equipos pueden conectarse a las redes individuales y derechos de acceso separados a
quién puede acceder a qué segmentos de la red.

CFCS recomienda que la organización tenga su red mapeada y documentada, por ejemplo a través de
un diagrama de flujo de datos. Entre otras cosas, el mapeo ayuda a crear una visión general de qué
datos fluyen a través de qué sistemas. La descripción general facilita la separación de los dispositivos
y sistemas de IoT que procesan datos confidenciales de otros dispositivos y sistemas de IoT.
Ayuda a proteger los datos confidenciales.

Al segmentar los dispositivos de IoT del resto de la red de la organización y configurar

firewalls, la organización puede limitar la posibilidad de que el malware se propague en la red
o el acceso no autorizado a datos confidenciales o sistemas críticos para el negocio.

CFCS recomienda que la organización:

• tiene su red mapeada y documentada

• separa segmentos de red para dispositivos y sistemas de IoT de otras redes
• separa los dispositivos y sistemas de IoT que procesan datos confidenciales de los demás
Dispositivos y sistemas de IoT
• garantiza que solo los dispositivos IoT u otros equipos relevantes estén conectados a los dedicados
segmentos de red
• configura el firewall para bloquear el tráfico interno y externo innecesario

17
Machine Translated by Google

Actualizaciones y gestión de
vulnerabilidades.
Todo el software, incluido el firmware, tendrá continuamente errores y vulnerabilidades que potencialmente abrirán la
puerta

a los piratas informáticos. La falta de actualizaciones en los dispositivos IoT los hace vulnerables. Por lo tanto,
la organización debe garantizar que los dispositivos de IoT estén actualizados y que se aborden las vulnerabilidades.

Las actualizaciones de los dispositivos IoT se pueden utilizar para corregir errores en el software del dispositivo o agregar
nuevas funciones. Sin embargo, el tipo de actualización más importante para una organización normalmente será
actualizaciones de seguridad. Se puede emitir una actualización de seguridad basada en un error encontrado en el código
fuente, un error en las bibliotecas de software subyacentes o una nueva versión del protocolo.
con el objetivo de proteger el dispositivo IoT, o si el propio proveedor ha recibido o descubierto un fallo de seguridad en un
dispositivo. La organización también debe garantizar que todo el firmware de los dispositivos IoT tenga la última versión.

Siempre que sea posible, CFCS recomienda que las organizaciones activen la actualización automática. Los dispositivos
IoT que se consideren adecuados para la actualización automática deben priorizar las actualizaciones de
seguridad, mientras que las actualizaciones de funciones son opcionales.

No todas las vulnerabilidades se pueden abordar de inmediato. Podría ser una vulnerabilidad tan complicada que

la actualización no llega lo suficientemente rápido. También puede ocurrir que haya un error en la construcción del
dispositivo IoT, lo que significa que la vulnerabilidad no se puede reparar. La organización
Por lo tanto, debe tener pautas sobre cuándo se debe instalar una actualización a más tardar y cuándo se debe
manejar una vulnerabilidad a más tardar. Las directrices deben describir un procedimiento sobre lo que debe hacer la
organización si la actualización no llega lo suficientemente rápido. Esto puede ser, por ejemplo, desconectando el
dispositivo de Internet hasta que llegue la actualización de seguridad, o quitando o reemplazando el dispositivo IoT.
Todos los empleados relevantes también deben conocer sus funciones y responsabilidades en una situación de
emergencia en la que se deben manejar las vulnerabilidades, de acuerdo con la política de seguridad de IoT
de la organización.

Para garantizar un manejo eficaz de las vulnerabilidades y actualizaciones de los dispositivos de IoT, es importante
que la organización tenga una ubicación central desde la cual se puedan recibir y actuar en consecuencia.
Podría ser, por ejemplo, un responsable de gestión de parches en operaciones de TI. Esto es para garantizar que
todos los dispositivos IoT se actualicen continuamente.

18
Machine Translated by Google

CFCS recomienda que la organización:

• tiene un lugar central para recibir información sobre vulnerabilidades o

actualizaciones
• garantiza que todos los empleados relevantes conozcan su función y responsabilidades en una
situación de emergencia donde se deben manejar las vulnerabilidades
• activa la actualización automática si la evaluación de riesgos lo permite • garantiza la
instalación manual de actualizaciones de software, incluidas actualizaciones de firmware, si falla la instalación
automática
• garantiza que las actualizaciones sean legítimas, por ejemplo a través de certificados o confianza
proveedores de servicio
• garantiza que los dispositivos IoT que no se pueden actualizar o que se consideran vulnerables sean
reemplazados o completamente aislados del resto de la red
• garantiza que las actualizaciones realizadas a través de la red se realicen a través de canales cifrados
• tener pautas sobre cuándo se deben instalar las actualizaciones de los dispositivos IoT a más tardar
• tener pautas sobre cuándo se deben manejar las vulnerabilidades en los dispositivos de IoT a más tardar

19
Machine Translated by Google

Registro y monitoreo
El monitoreo y registro de dispositivos y sistemas de IoT permite a la organización detectar, rastrear y
analizar anomalías y eventos en dispositivos y sistemas de IoT.
La monitorización es la capacidad que tiene la organización de observar la actividad en las redes,
sistemas y dispositivos IoT con el fin de detectar posibles incidentes de seguridad y actuar sobre ellos. El registro
es la capacidad de la organización para registrar eventos en redes, sistemas y dispositivos IoT para
luego investigar los eventos. La organización debe registrar estados, eventos y tráfico de red desde dispositivos
y sistemas de IoT.

CFCS a menudo observa que las organizaciones que han experimentado incidentes de TI no han mantenido
registros durante el tiempo suficiente. Registrar y monitorear registros de redes, sistemas y dispositivos
de IoT en la infraestructura de la organización es fundamental para su capacidad de detectar un ciberataque,
detenerlo y descubrir de manera efectiva la secuencia de eventos posteriores. El registro puede revelar
objetivos, métodos y técnicas de los hackers que utilizan. Los registros también pueden ayudar a
Descubra dónde ingresaron los piratas informáticos a la infraestructura de TI de la organización, lo que puede
permitirle a la organización remediar sus vulnerabilidades. La organización también puede ver si los piratas
informáticos se han movido por otras infraestructuras de la organización y qué acciones,
fue hecho. De esta forma, la organización también puede descubrir si existe un riesgo para más personas.
Incidentes de seguridad informática.

CFCS recomienda controlar si se superan los valores límite en las unidades de sensores o actuadores. Por
ejemplo, podrían ser sensores físicos que alertan sobre determinadas temperaturas. CFCS también
recomienda monitorear actividades anómalas. Actividad anómala es cualquier actividad que se desvía de la
imagen normal sin ningún motivo, por ejemplo, una entrada que normalmente recibe solo números pero donde
comienzan a aparecer letras.

CFCS recomienda que la organización registre lo siguiente en los dispositivos IoT:

• ID de usuario e ID único del dispositivo
• cambios en la configuración de dispositivos y sistemas
• tráfico de red, incluyendo especialmente
•
tiempo • protocolo
• cualquier dirección IP del remitente y del destinatario • registros
de acceso
• registros del sistema
• nombre de usuario del intento de autenticación
• consumo de proceso y RAM

Los registros deben conservarse durante al menos 13 meses.

CFCS recomienda que la organización supervise lo siguiente en los dispositivos IoT:

• cortes en unidades o sistemas

• tráfico de red
• si se exceden los valores límite en las unidades de sensor o actuador
• actividad anormal en sistemas y dispositivos, incluidos varios
Indicadores de compromiso (IoC)

Para obtener más información, lea la guía del CFCS sobre el registro (Centro de Seguridad Cibernética 2023e).

20
Machine Translated by Google

Criptografía y comunicación
en uso por dispositivos IoT
La organización debe cifrar las comunicaciones de los dispositivos IoT, ya que esto ayuda a garantizar
una protección adecuada y eficaz de los datos de la organización. Esto se aplica tanto al tráfico hacia y
desde las unidades, como correspondientemente a todos los demás servicios a través de los cuales se
puede acceder a las unidades. El cifrado protege los datos contra el acceso y la lectura no
autorizados. Esto es esencial para evitar la exposición de datos confidenciales.

Si los piratas informáticos tienen acceso a las claves de los mecanismos de autenticación, pueden obtener
un acceso aparentemente legítimo a los dispositivos de IoT. Por lo tanto, CFCS recomienda que se
utilicen claves únicas que estén protegidas con criptografía.

Los algoritmos criptográficos pueden quedar obsoletos con el tiempo, con lo que se puede romper el
cifrado. Por lo tanto, debe ser posible actualizar, por ejemplo, algoritmos criptográficos y
llaves.

CFCS recomienda que:

• los mecanismos de autenticación deben utilizar claves únicas para cada dispositivo IoT individual
• las claves están protegidas con criptografía
• Las funciones criptográficas deben ser actualizables.
• Las funciones criptográficas utilizadas en dispositivos IoT utilizan implementaciones
estándar de bibliotecas criptográficas bien probadas.
• el tráfico se cifra y se autentica • Los
dispositivos IoT que no tienen suficiente cifrado se reemplazan o se aíslan completamente del
resto de la red

21
Machine Translated by Google

Tratamiento y supresión de datos

La organización debe garantizar que el procesamiento de datos en un dispositivo y sistema de IoT se realice
de manera responsable y que sea fácil eliminar datos. Esto es importante para proteger la capacidad de la organización.
datos.

Los dispositivos IoT suelen tener un bajo consumo de energía porque normalmente no realizan el
procesamiento de datos por sí mismos. En cambio, los dispositivos de IoT transfieren principalmente datos de
sensores, por ejemplo, transmisiones de video desde la lente de la cámara o mediciones de temperatura del
termómetro, a un sistema que maneja el procesamiento. La organización debe llevar a cabo una evaluación
de riesgos de las consecuencias si otros empleados distintos de los aprobados pueden procesar o tener acceso a
esos datos. Es importante que cualquier procesador tenga el permiso del propietario del sistema para procesar datos
o tenga el permiso que la organización considere necesario sobre la base de su evaluación de riesgos.

La organización debe tener una visión completa de qué datos se almacenan y dónde
así como una descripción general de los flujos de datos en dispositivos y sistemas de IoT. El
almacenamiento y la transmisión de datos en un dispositivo IoT o sistema asociado debe realizarse de manera
responsable y debería ser fácil para la organización eliminar datos que ya no sean necesarios. Si este no es el caso, la
organización corre el riesgo de que los datos confidenciales se almacenen en sistemas que no son adecuados para este
tipo de manejo de datos y, por lo tanto, son más vulnerables.

La organización debe ser consciente de que puede verse obligada por ley a eliminar ciertos tipos de datos después
de un período determinado para cumplir con las normas sobre procesamiento y almacenamiento de datos.
Para preguntas sobre el RGPD, CFCS se remite a la Autoridad Danesa de Protección de Datos.

CFCS recomienda que la organización:

• puede dar cuenta de quién procesa qué datos en los dispositivos IoT de la organización
y sistemas, y de qué manera se lleva a cabo
• garantiza que se han obtenido los permisos necesarios para el procesamiento de datos en
Los dispositivos y sistemas de IoT de la organización.
• es capaz de eliminar datos seleccionados de los dispositivos y sistemas de IoT de la organización

22
Machine Translated by Google

Eliminación y reciclaje de
dispositivos de iot

Cuando los dispositivos de IoT ya no se utilizan, la organización debe decidir si los dispositivos deben destruirse o reciclarse
dentro o fuera de la organización. La organización debe decidir qué datos ha procesado el dispositivo y garantizar que la
eliminación solo se realice después de que los datos del dispositivo se hayan eliminado de forma segura. En caso de que
los datos no se eliminen de forma segura, la organización puede correr el riesgo de que personas no autorizadas
puedan acceder a datos de usos anteriores, que pueden ser recreados y copiados con diversas técnicas (forense).

En esta recomendación, CFCS divide los datos en dos categorías: no confidenciales y confidenciales.
La propia organización debe valorar qué datos son sensibles para ella. Algunas autoridades están legalmente obligadas a
clasificar la información según la circular de seguridad del Ministerio de Justicia.

Los datos se dividen en categorías, ya que los diferentes tipos de datos requieren un procesamiento diferente. Si un dispositivo
IoT ha recopilado y procesado datos no confidenciales, el dispositivo se puede reutilizar o eliminar reiniciándolo o eliminando
todos los datos. Si, por el contrario, el dispositivo tiene

manejó datos confidenciales, no debe dejar la organización intacta. Por el contrario, debe ser destruido. Si se van a
destruir los dispositivos de IoT, la organización debe garantizar que todos los datos se destruyan correctamente. Por ejemplo,
los campos magnéticos pueden destruir datos en tipos de almacenamiento magnético, pero no en transistores en unidades
de estado sólido. Si la organización quiere destruir el almacenamiento de datos, es importante que el dispositivo se rompa en
pedazos lo suficientemente pequeños como para garantizar que se destruyan incluso los chips flash más pequeños.

Si se restablece un dispositivo IoT, la organización debe tener en cuenta que restablecer el dispositivo (restablecimiento de
fábrica) normalmente solo elimina datos de la memoria local. Es decir, el reinicio no elimina datos en los sistemas ni en otros
dispositivos de almacenamiento conectados al dispositivo IoT, como llaves USB o tarjetas SD.

Las recomendaciones no se relacionan con el procesamiento de datos personales. Para preguntas sobre el RGPD, CFCS se
remite a la Autoridad Danesa de Protección de Datos.

La organización debe ser consciente de si está cubierta por requisitos especiales para la eliminación y el reciclaje
de dispositivos IoT, por ejemplo, requisitos especiales de destrucción para dispositivos que hayan procesado datos clasificados.

CFCS recomienda que la organización se asegure de que la eliminación y el reciclaje de los dispositivos
de IoT se produzcan después de la eliminación segura de los datos.

La organización debe ser consciente del tipo de datos que ha procesado el dispositivo IoT, ya que esto tiene implicaciones sobre
cómo se debe procesar el dispositivo. El tratamiento debe ser aprobado por la dirección. Si la organización limpia
un dispositivo, se deberá verificar posteriormente la limpieza.

23
Machine Translated by Google

Para dispositivos IoT que no han procesado datos confidenciales:

• Se deben resetear los dispositivos que se reutilizan en la organización (restablecimiento de fábrica)

• Los dispositivos que no se van a reutilizar deben limpiarse de datos en todos los almacenes de memoria. Esto se
puede hacer eliminando la clave de cifrado (borrado criptográfico) o sobrescribiendo los datos tres veces con
datos aleatorios. Si no es posible borrar o sobrescribir, el dispositivo debe destruirse

Para dispositivos IoT que han procesado datos confidenciales a los que otros no deberían tener acceso:

• Los dispositivos que se reutilizan en la organización deben limpiarse de datos en todos

almacenes de memoria en el dispositivo. Esto se puede hacer eliminando la clave de cifrado (borrado
criptográfico) o sobrescribiendo los datos tres veces con datos aleatorios.
Se debe reinstalar el firmware del dispositivo.

• Los dispositivos que no se van a reciclar deben destruirse.

24
Machine Translated by Google

Lista de referencia
Oficina de Industria y Seguridad. (2023). Suplemento No. 4 de la Parte 744 del Reglamento de Administración
de Exportaciones. https://www.bis.doc.gov/index.php/policy­guidance/lists­of­party­of­concern/entity­list

Centro de Seguridad Cibernética. (2023a). Evaluación de amenazas: la ciberamenaza a los dispositivos IoT
https://www.cfcs.dk/da/cybertruslen/trusselsvurderinger/cybertruslen­mod­iot­enheder/

Centro de Seguridad Cibernética. (2023b). Ciberdefensa que funciona.

https://www.cfcs.dk/da/forebyggelse/vejledninger/cyberforsvar­der­virker/

Centro de Seguridad Cibernética. (2023d). Seguridad de contraseña: guía de contraseñas para usuarios,
desarrolladores, operadores y administradores de TI.
https://www.cfcs.dk/da/forebyggelse/vejledninger/passwords/

Centro de Seguridad Cibernética. (2023e). Registro: parte de una buena ciberdefensa https://
www.cfcs.dk/da/prevällninger/vejledninger/logning/

Centro de Ciberseguridad y Agencia Danesa de Digitalización. (2022). Ciberseguridad i

relación con proveedores.

https://www.cfcs.dk/da/forebyggelse/vejledninger/informationssikkerhed­i­leverandorforhold/

DS/ISO/IEC 27400:2022 Ciberseguridad – Seguridad y privacidad de IoT – Directrices

DS/EN ISO/IEC 27002:2022 Seguridad de la información, ciberseguridad y protección de la privacidad

– Medidas de seguridad de la información

ETSI EN 303 645:2020 Ciberseguridad para el Internet de las cosas del consumidor: línea de base
Requisitos

Pauta de seguridad de IoT GSMA 2020 para ecosistemas de terminales

Forbes. (2017). Los delincuentes piratearon una pecera para robar datos de un casino. http://
www.forbes.com/sites/leemathews/2017/07/27/criminals­hacked­a­fish­tank­to­steal­data­from­a­casino/

25
Machine Translated by Google

IPVM. (2022). Directorio de OEM de Hikvision. https://ipvm.com/reports/hik­oems­dir

ISO/IEC 27001:2022 Seguridad de la información, ciberseguridad y protección de la privacidad –

Sistemas de gestión de seguridad de la información – Requisitos

ISO/IEC DIS 27402:2022 Ciberseguridad – Seguridad y privacidad de IoT – Requisitos básicos del dispositivo

NIST IR 8228 Consideraciones para la gestión de la ciberseguridad y la Internet de las cosas (IoT)
Riesgos de privacidad

NIST SP 800­213 Guía de ciberseguridad de dispositivos IoT para el gobierno federal:

Establecimiento de reequipamientos de ciberseguridad de dispositivos IoT

Directrices NIST SP 800­88 para la desinfección de medios

Swanson, Steven. (2011). Destruir dispositivos de almacenamiento basados en memoria flash. UC San Diego: Departamento de
Ingeniería y Ciencias de la Computación. https://escholarship.org/uc/
item/0f02d3bm

26
Machine Translated by Google

Anexo 1

El Apéndice 1 describe los requisitos técnicos para los dispositivos IoT, que se han abordado en varios
capítulos de la guía. El apéndice contiene una descripción general de los requisitos técnicos a los que
CFCS recomienda que la empresa preste especial atención al adquirir nuevos dispositivos IoT. CFCS
recomienda que la organización cumpla con los requisitos, independientemente de si el dispositivo se adquiere
directamente o a través de un proveedor.

CFCS recomienda que los dispositivos IoT cumplan con los siguientes requisitos técnicos:

• Debe ser posible realizar el refuerzo de los dispositivos IoT requerido en relación
a los requisitos de seguridad del dispositivo de la organización (consulte la Política de seguridad de IoT y
Endurecimiento de dispositivos IoT)
• Los dispositivos IoT no deben tener información de inicio de sesión predefinida (codificada) que no se pueda
cambiar (consulte la sección Control de acceso)
• Debe ser posible crear contraseñas con un mínimo de 15 caracteres (ver sección
control de acceso)
• Se deben realizar actualizaciones continuas en el dispositivo IoT (consulte la sección Actualizaciones y
gestión de vulnerabilidad)
• Debe ser posible cifrar los datos (ver sección Criptografía y comunicación)
• La organización debe poder eliminar datos seleccionados de los dispositivos IoT y
sistemas (ver apartado Tratamiento y eliminación de datos)

27