{"id":30561,"date":"2024-09-11T13:34:44","date_gmt":"2024-09-11T11:34:44","guid":{"rendered":"https:\/\/www.metafrase.com\/blog\/?p=30561"},"modified":"2024-09-11T13:34:44","modified_gmt":"2024-09-11T11:34:44","slug":"ley-europea-de-ciberresiliencia-cra","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/ley-europea-de-ciberresiliencia-cra\/","title":{"rendered":"Ley Europea de Ciberresiliencia (CRA)"},"content":{"rendered":"<h2>\u00bfEn qu\u00e9 consiste la Ley Europea de Ciberresiliencia?<\/h2>\n<p class=\"text-left\">La Ley Europea de Ciberresiliencia es un marco jur\u00eddico que describe los requisitos de ciberseguridad para\u00a0<b>los productos de hardware y software con elementos digitales<\/b> comercializados en la Uni\u00f3n Europea. Seg\u00fan la misma, los fabricantes est\u00e1n obligados a tomarse en serio la seguridad durante todo el ciclo de vida del producto.<\/p>\n<p class=\"text-left\">Los productos de hardware y software digitales constituyen una de las\u00a0<b>principales v\u00edas<\/b>\u00a0para el \u00e9xito de los ciberataques. En un entorno conectado, un incidente de ciberseguridad en un producto puede afectar a toda una organizaci\u00f3n o a toda una cadena de suministro, propag\u00e1ndose a menudo a trav\u00e9s de las fronteras del mercado interno en cuesti\u00f3n de minutos.<\/p>\n<p class=\"text-left\">Antes de la<strong> Ley Europea de Ciberresiliencia<\/strong>, los diversos actos e iniciativas adoptados a nivel de la Uni\u00f3n Europea y nacional solo <b>abordaban parcialmente<\/b> los problemas y riesgos identificados relacionados con la ciberseguridad.<\/p>\n<p class=\"text-left\">Aument\u00f3 la incertidumbre jur\u00eddica tanto para los fabricantes como para los usuarios de esos productos y a\u00f1adi\u00f3 una carga innecesaria a las empresas para que cumplieran una serie de requisitos para tipos de productos similares.<\/p>\n<p class=\"text-left\">La ciberseguridad de estos productos tiene una dimensi\u00f3n transfronteriza especialmente fuerte, ya que los productos fabricados en un pa\u00eds suelen ser utilizados por organizaciones y consumidores de todo el mercado interior.<\/p>\n<p class=\"text-left\">Se abordan dos problemas principales:<\/p>\n<p class=\"text-left\">1. El bajo nivel de ciberseguridad de los productos con elementos digitales, reflejado en vulnerabilidades generalizadas y la provisi\u00f3n insuficiente e inconsistente de actualizaciones de seguridad para abordarlas.<\/p>\n<p class=\"text-left\">2. La insuficiente comprensi\u00f3n y acceso a la informaci\u00f3n por parte de los usuarios, lo que les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura.<\/p>\n<p class=\"text-left\">En determinadas condiciones, todos los productos con elementos digitales integrados o conectados a un sistema de informaci\u00f3n electr\u00f3nico m\u00e1s amplio pueden servir como vector de ataque para actores maliciosos.<\/p>\n<p class=\"text-left\">Como resultado, incluso el hardware y el software considerados menos cr\u00edticos pueden facilitar el compromiso inicial de un dispositivo o red, lo que permite que actores maliciosos obtengan acceso privilegiado a un sistema o se muevan lateralmente a trav\u00e9s de los sistemas.<\/p>\n<p>&nbsp;<\/p>\n<h2>\u00bfQu\u00e9 productos se encuentran bajo amenaza de ciberseguridad?<\/h2>\n<p class=\"text-left\">Ejemplos de productos con elementos digitales que se encuentran bajo ciberamenaza seg\u00fan la Ley Europea de Ciberseguridad:<\/p>\n<ul>\n<li class=\"text-left\"><b>Dispositivos finales<\/b><br \/>\nComputadoras port\u00e1tiles<br \/>\nTel\u00e9fonos inteligentes<br \/>\nSensores y c\u00e1maras<br \/>\nRobots inteligentes<br \/>\nTarjetas inteligentes<br \/>\nMedidores inteligentes<br \/>\nDispositivos m\u00f3viles<br \/>\nAltavoces inteligentes<br \/>\nEnrutadores<br \/>\nConmutadores<br \/>\nSistemas de control industrial.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li class=\"text-left\"><b>Software<\/b><br \/>\nFirmware<br \/>\nSistemas operativos<br \/>\nAplicaciones m\u00f3viles<br \/>\nAplicaciones de escritorio<br \/>\nVideojuegos<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li class=\"text-left\"><b>Componentes (tanto hardware como software)<\/b><br \/>\nUnidades de procesamiento de computadora<br \/>\nTarjetas de video<br \/>\nBibliotecas de software.<\/li>\n<\/ul>\n<figure style=\"width: 880px\" class=\"wp-caption aligncenter\"><img fetchpriority=\"high\" decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Ley Europea de Ciberresiliencia (CRA)\" width=\"880\" height=\"840\" class=\"lazyload\" data-src=\"https:\/\/www.european-cyber-resilience-act.com\/CRA_1.JPG\"><figcaption class=\"wp-caption-text\">Fuente: Comisi\u00f3n Europea<\/figcaption><\/figure>\n<h2><\/h2>\n<h2>Entendiendo la Ley Europea de Ciberresiliencia (CRA)<\/h2>\n<p class=\"text-left\">La Ley Europea de Ciberresiliencia (CRA) tiene por objeto establecer las condiciones l\u00edmite para el desarrollo de\u00a0<b>productos seguros con elementos digitales<\/b>\u00a0, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y que los fabricantes se tomen en serio la seguridad durante todo el ciclo de vida del producto. Tambi\u00e9n pretende crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad al seleccionar y utilizar productos con elementos digitales.<\/p>\n<p class=\"text-left\">La legislaci\u00f3n de la Uni\u00f3n vigente en la actualidad comprende varios conjuntos de normas horizontales que abordan determinados aspectos relacionados con la ciberseguridad desde diferentes \u00e1ngulos, incluidas medidas para mejorar la seguridad de la cadena de suministro digital. Sin embargo, la legislaci\u00f3n de la Uni\u00f3n vigente en materia de ciberseguridad no contempla directamente los requisitos obligatorios para la seguridad de los productos con elementos digitales.<\/p>\n<p class=\"text-left\">Los diversos actos e iniciativas adoptados hasta ahora a nivel de la Uni\u00f3n y nacional solo abordan parcialmente los problemas y riesgos identificados relacionados con la ciberseguridad, lo que crea un mosaico legislativo dentro del mercado interior, aumenta la incertidumbre jur\u00eddica tanto para los fabricantes como para los usuarios de esos productos y a\u00f1ade una carga innecesaria a las empresas para que cumplan una serie de requisitos para tipos similares de productos.<\/p>\n<p class=\"text-left\">La ciberseguridad de estos productos tiene una dimensi\u00f3n transfronteriza especialmente importante, ya que los productos fabricados en un pa\u00eds suelen ser utilizados por organizaciones y consumidores en todo el mercado interior. Esto hace necesario regular este \u00e1mbito a escala de la Uni\u00f3n. El panorama normativo de la Uni\u00f3n debe armonizarse introduciendo requisitos de ciberseguridad para los productos con elementos digitales. Adem\u00e1s, debe garantizarse la seguridad para los operadores y los usuarios en toda la Uni\u00f3n, as\u00ed como una mejor armonizaci\u00f3n del mercado \u00fanico, creando condiciones m\u00e1s viables para los operadores que deseen entrar en el mercado de la Uni\u00f3n.<\/p>\n<p class=\"text-left\">A nivel de la Uni\u00f3n, diversos documentos program\u00e1ticos y pol\u00edticos, como la Estrategia de ciberseguridad de la UE para la D\u00e9cada Digital, las Conclusiones del Consejo de 2 de diciembre de 2020 y de 23 de mayo de 2022 o la Resoluci\u00f3n del Parlamento Europeo de 10 de junio de 2021, han pedido que la Uni\u00f3n establezca requisitos espec\u00edficos en materia de ciberseguridad para los productos digitales o conectados, y varios pa\u00edses de todo el mundo han introducido medidas para abordar esta cuesti\u00f3n por iniciativa propia.<\/p>\n<p class=\"text-left\">En el informe final de la Conferencia sobre el Futuro de Europa, 18 ciudadanos pidieron \u00abun papel m\u00e1s importante de la UE en la lucha contra las amenazas a la ciberseguridad\u00bb.<\/p>\n<p class=\"text-left\">Para aumentar el nivel general de ciberseguridad de todos los productos con elementos digitales comercializados en el mercado interior, es necesario introducir requisitos esenciales de ciberseguridad orientados a objetivos y tecnol\u00f3gicamente neutrales para estos productos que se apliquen horizontalmente.<\/p>\n<p class=\"text-left\">En determinadas circunstancias, todos los productos con elementos digitales integrados en un sistema de informaci\u00f3n electr\u00f3nico m\u00e1s amplio o conectados a \u00e9l pueden servir como vector de ataque para agentes malintencionados. En consecuencia, incluso el hardware y el software considerados menos cr\u00edticos pueden facilitar la vulneraci\u00f3n inicial de un dispositivo o una red, permitiendo a agentes malintencionados obtener acceso privilegiado a un sistema o moverse lateralmente entre sistemas. Por tanto, los fabricantes deben garantizar que todos los productos conectables con elementos digitales est\u00e9n dise\u00f1ados y desarrollados de conformidad con los requisitos esenciales establecidos en el presente Reglamento.<\/p>\n<p class=\"text-left\">Esto incluye tanto los productos que se pueden conectar f\u00edsicamente a trav\u00e9s de interfaces de hardware como los productos que est\u00e1n conectados de forma l\u00f3gica, como por ejemplo a trav\u00e9s de conectores de red, tuber\u00edas, archivos, interfaces de programaci\u00f3n de aplicaciones o cualquier otro tipo de interfaz de software. Dado que las amenazas de ciberseguridad pueden propagarse a trav\u00e9s de varios productos con elementos digitales antes de alcanzar un objetivo determinado, por ejemplo mediante la combinaci\u00f3n de m\u00faltiples vulnerabilidades, los fabricantes tambi\u00e9n deben garantizar la ciberseguridad de aquellos productos que solo est\u00e1n conectados indirectamente a otros dispositivos o redes.<\/p>\n<p class=\"text-left\"><strong>Al establecer requisitos de ciberseguridad para la comercializaci\u00f3n de productos con elementos digitales, se mejorar\u00e1 la ciberseguridad de estos productos tanto para los consumidores como para las empresas<\/strong>. Esto tambi\u00e9n incluye requisitos para la comercializaci\u00f3n de productos de consumo con elementos digitales destinados a consumidores vulnerables, como juguetes y monitores para beb\u00e9s.<\/p>\n<h2><\/h2>\n<h2>Ejemplos de ciberataques sobre soportes digitales<\/h2>\n<p>Algunos de los ejemplos m\u00e1s significativos de ataques inform\u00e1ticos recientes, son los tres siguientes:<\/p>\n<p class=\"text-left\">&#8211; El software esp\u00eda Pegasus, que explota vulnerabilidades en los tel\u00e9fonos m\u00f3viles.<\/p>\n<p class=\"text-left\">&#8211; El <a href=\"https:\/\/www.metafrase.com\/blog\/el-auge-del-ransomware\/\">ransomware<\/a> WannaCry, que explot\u00f3 una vulnerabilidad de Windows que afect\u00f3 a computadoras en 150 pa\u00edses.<\/p>\n<p class=\"text-left\">&#8211; El ataque a la cadena de suministro de Kaseya VSA, que utiliz\u00f3 un software de administraci\u00f3n de red para atacar a m\u00e1s de 1000 empresas.<\/p>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-large wp-image-30565 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"\" width=\"800\" height=\"534\" sizes=\"(max-width: 800px) 100vw, 800px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/09\/CRA-1024x683.png\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/09\/CRA-1024x683.png 1024w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/09\/CRA-300x200.png 300w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/09\/CRA-768x512.png 768w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/09\/CRA.png 1117w\"><\/p>\n<p>&nbsp;<\/p>\n<p>M\u00e1s Info: <a href=\"https:\/\/www.european-cyber-resilience-act.com\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.european-cyber-resilience-act.com\/\u00a0<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfEn qu\u00e9 consiste la Ley Europea de Ciberresiliencia? La Ley Europea de Ciberresiliencia es un marco jur\u00eddico que describe los requisitos de ciberseguridad para\u00a0los productos de hardware y software con elementos digitales comercializados en la Uni\u00f3n Europea. Seg\u00fan la misma, los fabricantes est\u00e1n obligados a tomarse en serio la seguridad durante todo el ciclo de [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":30566,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[165,163,164],"class_list":["post-30561","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria","tag-ciberresiliencia","tag-cra","tag-ley-europea-de-ciberresiliencia"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30561","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=30561"}],"version-history":[{"count":6,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30561\/revisions"}],"predecessor-version":[{"id":30569,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30561\/revisions\/30569"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/30566"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=30561"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=30561"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=30561"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}