El 21 de julio de 2020, el Buró Federal de Investigaciones (FBI) emitió una Notificación para la Industria Privada (PIN) en relación con la seguridad de los dispositivos de registro electrónico (ELD). En el documento llamado “Ciberseguridad y prácticas recomendadas de dispositivos de registro electrónico” se proporciona información clave sobre los ELD y el riesgo cibernético, así como consejos para gestionar el riesgo.
Al FBI le preocupa que los delincuentes cibernéticos puedan aprovecharse de las vulnerabilidades que presentan los ELD. Las empresas que eligen un ELD pueden reducir el riesgo cibernético si siguen las prácticas recomendadas y formulan preguntas específicas del proveedor.
Como líder en el campo de la seguridad cibernética, Verizon ha asumido un compromiso con la seguridad de nuestros clientes y sus activos.
¿Se ha asegurado la comunicación entre el motor y el ELD?
Verizon ejerce un control estricto sobre la comunicación que tiene lugar entre el motor y el dispositivo telemático. Solo pueden enviarse al controlador del motor los comandos que hayan sido autorizados por nuestro servidor seguro.
¿Se implementaron los estándares técnicos o se siguieron las prácticas recomendadas en el desarrollo del dispositivo?
Sí, el desarrollo del dispositivo cumple tanto con los estándares técnicos como con las prácticas recomendadas de la industria, como CMMI3 e ISO 9001. Para el desarrollo de la aplicación, se requiere que todos los códigos se sometan a la revisión de los pares y al análisis de códigos estáticos. Se siguen procesos de aprobación de cambios antes de que se implemente el código para uso del cliente.
¿El componente brinda protección para resguardar la confidencialidad e integridad de las comunicaciones?
Sí. Se conservan la confidencialidad y la integridad de las comunicaciones mediante el uso de la autenticación y del cifrado. La comunicación entre los componentes del dispositivo móvil y del lado del servidor se asegura por medio de HTTPS y TLS.
¿Se le han realizado pruebas de penetración al componente?
Las pruebas de penetración suelen llevarse a cabo de manera regular para dispositivos seleccionados a nivel interno, en tanto que la validación la realiza un proveedor externo.
¿Cuenta el dispositivo con un sistema de arranque seguro?
Verizon Connect utiliza una serie de métodos diferentes para confirmar que los dispositivos ejecuten en forma segura software autorizado de fuentes confiables. Estos métodos son el arranque seguro, el cifrado del firmware y la validación de firmas digitales.
¿Se envía el dispositivo con el modo de depuración activado?
El modo de depuración es una interfaz de usuario implementada que permite que el usuario visualice y/o manipule el estado interno del programa a los efectos de realizar una depuración. Los dispositivos telemáticos de Verizon no se envían con el modo de depuración activado para limitar la capacidad que poseen los delincuentes cibernéticos de acceder al funcionamiento del dispositivo. Únicamente Verizon Connect puede activar el modo de depuración en dispositivos seleccionados con motivos de servicio y mantenimiento remotos.
Se invita a los profesionales de seguridad cibernética a descargar la 13.ª edición del Informe de Investigaciones sobre Filtraciones de Datos de Verizon. https://enterprise.verizon.com/en-us/resources/reports/dbir/