En algunos aspectos, como la apuesta por las energías renovables para luchar contra el cambio climático, el Estado California (EE. UU.) es una de las regiones más innovadoras y pioneras del mundo (ver Así es el plan de energía limpia que el resto del mundo debería imitar).Y ahora parece que está a punto de tomar la delantera en una cuestión estratégica de la era digital: la ciberseguridad de los aparatos de internet de las cosas (IoT).

Los legisladores del Estado acaban de enviar a su gobernador, Jerry Brown, un proyecto de ley para reforzar la seguridad de los dispositivos conectados a internet. Si se aprueba, California se convertirá en la primera región de su país que dispone de una ley específicamente diseñada para IoT (ver El "creciente y masivo" riesgo de IoT puede acabar cobrándose vidas humanas).

No es difícil ver por qué hace falta una legislación como esta. Casi todos los días salta una nueva noticia o informe sobre cómo los hackers atacan todo tipo de aparatos conectados, desde juguetes hasta los frenos de un coche. Esta situación es cada vez más preocupante dado que se prevé que en los próximos años habrá miles de millones de dispositivos conectados en el mercado.

Algunos expertos creen que es solo cuestión de tiempo para que los dispositivos hackeados causen lesiones graves, y tal vez incluso maten a personas (ver "La innovación en el mundo de Internet + puede matarnos").

La legislación de California, que entraría en vigor en enero de 2020, obligaría a que los dispositivos conectados presenten características de seguridad "razonables" o "apropiadas para la naturaleza y la función del dispositivo". También requeriría que los fabricantes establezcan una contraseña predeterminada diferente para cada gadget que venden o que soliciten a los usuarios que cambien la contraseña predeterminada común antes de empezar a usar el dispositivo por primera vez.

Es muy habitual que muchos aparatos de IoT se vendan con contraseñas comunes. Eso significa que si los hackers logran descifrarla, pueden tomar el control de una gran cantidad de dispositivos similares. Otros controles de seguridad varían ampliamente, como los de la comunicación con diferentes dispositivos por ejemplo, y a menudo reflejan los estándares desarrollados por la industria.

Existen distintas leyes que dictan cómo se deben manejar los datos de los consumidores recopilados a través de los productos IoT. Sin embargo, hasta ahora no había ninguna legislación específicamente centrada en la seguridad de los IoT.

Algunos expertos en ciberseguridad, como Robert Graham, de Errata Security, han criticado la legislación de California por ser demasiado vaga y quedarse corta a la hora de evitar que las empresas introduzcan características inseguras en los dispositivos que comercializan.

Por su parte, los defensores del proyecto de ley dicen que la posible amenaza de un litigio obligará a los fabricantes a centrarse más en la seguridad cuando construyen sus dispositivos inteligentes. "El lenguaje de [la ley] muy flexible de forma deliberada, pero eso es para que las empresas piensen en cómo podrían hacer que el diseño de sus productos sea más seguro", afirma el especialista en seguridad de la información del Atlantic Council Beau Woods.

Existe otra buena razón para que la ley no sea demasiado explícita: en el área de la ciberseguridad, las cosas pueden cambiar increíblemente rápido, así que una medida defensiva que hoy en día parece razonable, pasado mañana podría estar obsoleta.

No obstante, la ley podría haber incluido algún requisito específico para que las empresas lancen rápidamente los parches necesarios para arreglar cualquier fallo de seguridad que se encuentre en el software de sus productos. Y también podía haber obligado a las compañías a establecer sistemas que faciliten a las personas informar sobre los errores y recompensarlos ​​por hacerlo (ver El Uber de la ciberseguridad une a empresas con cazadores de virus).

El hecho de que se haya perdido esta oportunidad de incluir ambos requisitos no significa que el proyecto de ley deba ser vetado. Si las compañías refuerzan la seguridad de sus productos para poder seguir vendiéndolos en California, probablemente esos cambios también aportarán beneficios en otras partes del mundo. La iniciativa de California también podría inspirar a otros estados y países, ya que el problema de la falta de seguridad de IoT es una cuestión global (ver "La ciberseguridad se va a convertir en una herramienta de estado en casi todos los países").