{"id":79864,"date":"2018-05-22T09:15:54","date_gmt":"2018-05-22T09:15:54","guid":{"rendered":"https:\/\/www.internetsociety.org\/?post_type=resources&#038;p=79864"},"modified":"2025-11-10T17:21:08","modified_gmt":"2025-11-10T17:21:08","slug":"marco-de-confianza-y-confidencialidad-de-iot-v2-5","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/es\/resources\/doc\/2018\/iot-trust-framework-v2-5\/","title":{"rendered":"Marco de confianza y confidencialidad de IoT v2.5"},"content":{"rendered":"<p>El Marco de confianza IoT (IoT\u00a0Trust\u00a0Framework\u00ae) incluye un juego de principios estrat\u00e9gicos necesarios para asegurar dispositivos IOT y sus datos cuando son enviados y a trav\u00e9s de su ciclo de vida. A trav\u00e9s de un proceso de m\u00faltiples actores impulsado por el consenso, se han identificado criterios para tecnolog\u00edas conectadas del hogar, la oficina y prendas, incluidos juguetes, rastreadores de actividad y dispositivos de bienestar. El marco se\u00f1ala la necesidad de divulgaciones completas que deben ser provistas antes de la compra del producto, pol\u00edticas respecto de la recolecci\u00f3n, el uso, y como se comparten los datos, adem\u00e1s de los t\u00e9rminos y condiciones de los parches de seguridad post-garant\u00eda. Las actualizaciones de seguridad son esenciales para maximizar la protecci\u00f3n de los dispositivos IoT\u00a0a medida que se descubren vulnerabilidades y los ataques evolucionan. Adicionalmente, el marco proporciona recomendaciones para que los fabricantes mejoren la transparencia y la comunicaci\u00f3n con respecto a la capacidad de recibir actualizaciones del dispositivo y una variedad de asuntos pertinentes a la privacidad de los datos.<\/p>\n<p>La aplicaci\u00f3n de los principios a la totalidad del ecosistema o armado de dispositivos es clave para abordar los riesgos de seguridad y los asuntos de privacidad inherentes. El ecosistema incluye el dispositivo o sensor, las aplicaciones\u00a0de apoyo y servicios en la nube\/de backend. Ya que tantos productos del mercado dependen de componentes y software de terceros o de c\u00f3digo abierto, les corresponde a los desarrolladores aplicar estos principios y llevar a cabo evaluaciones de riesgos de seguridad y privacidad de la cadena de suministro.<\/p>\n<p>Funcionando como una gu\u00eda de evaluaci\u00f3n para los desarrolladores, compradores y revendedores, el marco es la base para futuros programas de certificaci\u00f3n de IoT. Es el objetivo de la OTA es se\u00f1alar dispositivos que cumplen con estos est\u00e1ndares para ayudar a los consumidores, adem\u00e1s de los sectores p\u00fablicos\u00a0y privados, a tomar decisiones de compra informadas. El marco y recursos relacionados se hallan disponibles en\u00a0<a href=\"https:\/\/otalliance.org\/IoT\">https:\/\/otalliance.org\/IoT<\/a>.<\/p>\n<p>El marco puede dividirse en 4 \u00e1reas clave:<\/p>\n<ul>\n<li><strong>Principios de seguridad<\/strong>(1-12) &#8211; Aplicable a cualquier dispositivo o sensor y todas las aplicaciones y servicios\u00a0en\u00a0la nube. Estos abarcan desde la aplicaci\u00f3n de un proceso riguroso de seguridad de software a principios de seguridad de datos para datos almacenados y transmitidos por el dispositivo, hasta la gesti\u00f3n de la cadena de suministro, pruebas de penetraci\u00f3n y programas de reporte de vulnerabilidad. M\u00e1s principios delimitan los requisitos de parches de seguridad a lo largo del ciclo de vida.<\/li>\n<li><strong>Acceso y credenciales del usuario<\/strong>(13-17) &#8211; Requisitos de encriptamiento\u00a0de todas las contrase\u00f1as y nombres de usuario, env\u00edo de dispositivos con contrase\u00f1as \u00fanicas, implementaci\u00f3n de procesos generalmente aceptados de restablecimiento\u00a0de contrase\u00f1as e integraci\u00f3n de mecanismos que ayuden a prevenir intentos de inicio de sesi\u00f3n mediante \u00abfuerza bruta\u00bb.<\/li>\n<li><strong>Privacidad, divulgaciones y transparencia<\/strong>(18-33) &#8211; Requerimientos consistentes con principios de Privacidad generalmente aceptados, incluyendo divulgaciones prominentes en el envase, punto de venta y\/o en l\u00ednea, capacidad\u00a0para que los usuarios puedan restablecer las configuraciones\u00a0de f\u00e1brica y cumplimiento con requerimientos regulativos\u00a0aplicables, incluido el EU GDPR\u00a0y regulaciones de Privacidad para ni\u00f1os. Tambi\u00e9n aborda divulgaciones sobre el impacto que sufren las caracter\u00edsticas o la funcionalidad del producto si la conectividad\u00a0es inhabilitada.<\/li>\n<li><strong>Notificaciones y mejores pr\u00e1cticas relacionadas<\/strong>(34-40) &#8211; Para mantener la seguridad del dispositivo es clave tener mecanismos\u00a0y procesos que notifiquen r\u00e1pidamente al usuario si hay una amenaza o una acci\u00f3n requerida. Los principios incluyen el requisito de autenticaci\u00f3n\u00a0por correo electr\u00f3nico para notificaciones de seguridad y mensajes que sean claros y comprensibles para usuarios de todos los niveles de lectura. Adicionalmente, se destacan los requisitos de envasado seguro y accesibilidad.<\/li>\n<\/ul>\n<h4>OTA IoT Trust Framework\u00ae v2.5 \u2013 actualizado 14\/10\/17<\/h4>\n<h6><em>Enfocado en dispositivos y servicios \u00abpara el consumidor\u00bb para el hogar y la empresa, incluyendo tecnolog\u00eda ponible<\/em><\/h6>\n<table>\n<thead>\n<tr>\n<td colspan=\"2\">\n<h5><strong>Marco de confianza IoT<\/strong><\/h5>\n<p><strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/>\u00a0Requerido (Debe) <\/strong><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/> <strong>Recomendado\u00a0(Deber\u00eda)<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td colspan=\"2\">\n<h6>Seguridad &#8211; Dispositivo, aplicaciones y servicios en la nube<\/h6>\n<\/td>\n<\/tr>\n<tr>\n<td>1. Divulgue si el dispositivo es capaz de recibir actualizaciones de seguridad y, de ser as\u00ed, divulgue si el dispositivo puede recibir actualizaciones de seguridad autom\u00e1ticamente y qu\u00e9 medidas debe tomar el usuario para asegurarse de que el dispositivo se actualice correctamente y a tiempo.<\/td>\n<td style=\"width: 45px;\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>2. Aseg\u00farese de que los dispositivos y las aplicaciones asociadas toleren los\u00a0protocolos de criptograf\u00eda y las mejores pr\u00e1cticas actuales generalmente aceptadas. Todos los datos de informaci\u00f3n personal en tr\u00e1nsito y almacenados deben estar encriptados\u00a0empleando los est\u00e1ndares de seguridad actuales generalmente aceptados. Esto incluye, pero no se limita a conexiones al\u00e1mbricas, Wi-Fi y Bluetooth.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>3. Todos los sitios web de apoyo de IoT deben encriptar totalmente la sesi\u00f3n del usuario, desde el dispositivo hasta los servicios de backend. Las mejores pr\u00e1cticas actuales incluyen HTTPS y HTTP Strict Transport Security (HSTS) predeterminado, tambi\u00e9n conocido como AOSSL o Always On SSL. Los dispositivos deber\u00edan incluir mecanismos para autenticar confiablemente sus servicios de backend\u00a0y aplicaciones de apoyo.<a href=\"#_edn1\" name=\"_ednref1\">[1]<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>4. Los sitios de apoyo de IoT deben implementar monitoreo regular y mejoras continuas en la seguridad del sitio y las configuraciones del servidor para reducir aceptablemente el impacto de vulnerabilidades. Realice pruebas de penetraci\u00f3n al menos semestralmente.<a href=\"#_edn2\" name=\"_ednref2\">[2]<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>5. Establezca una\u00a0divulgaci\u00f3n coordinada de vulnerabilidad que incluya procesos y sistemas para recibir, rastrear y r\u00e1pidamente responder a informes de vulnerabilidad externa de terceros, que incluyen, pero no se limitan a clientes, consumidores, el \u00e1mbito acad\u00e9mico y la comunidad de investigaci\u00f3n. Corrija\u00a0vulnerabilidades de dise\u00f1o\u00a0posteriores a la puesta en el mercado de forma p\u00fablicamente\u00a0responsable ya sea a trav\u00e9s de actualizaciones remotas y\/o mediante notificaciones factibles al consumidor u otros mecanismos eficaces. Los desarrolladores deber\u00edan considerar los programas \u00abbug\u00a0bounty\u00bb y m\u00e9todos de crowdsourcing\u00a0para ayudar a identificar vulnerabilidades.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>6. Aseg\u00farese de que haya un mecanismo en funcionamiento para que m\u00e9todos automatizados y seguros proporcionen actualizaciones\u00a0de software y\/o\u00a0firmware, parches y revisiones. Tales actualizaciones deben ser firmadas y\/o verificadas de otro modo como provenientes de una fuente confiable, incluyendo, pero no limitado al chequeo de firmas y de integridad.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>7. Las actualizaciones y parches no deben modificar las preferencias, configuraciones de seguridad y\/o privacidad configuradas por el usuario sin notificaci\u00f3n previa. En casos en los que el firmware\u00a0o software del dispositivo sean sobrescritos, primero se le debe dar al usuario la opci\u00f3n de revisar y seleccionar las configuraciones de privacidad.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>8. Los procesos de actualizaciones de seguridad deben divulgar si son automatizadas (en lugar de autom\u00e1ticas). Las actualizaciones automatizadas le dan al usuario la habilidad de aprobar, autorizar o rechazar actualizaciones. En ciertos casos un usuario puede desear la habilidad de elegir como y cuando se realizan las actualizaciones, incluyendo, pero no limitado al consumo de datos y conexi\u00f3n a trav\u00e9s de su\u00a0operador de telefon\u00eda m\u00f3vil o conexi\u00f3n ISP. A la inversa, las actualizaciones autom\u00e1ticas son impuestas al dispositivo sin interrupciones y sin interacci\u00f3n con el usuario y pueden o no brindar una notificaci\u00f3n al usuario.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>9. Aseg\u00farese de que todos los dispositivos IoT\u00a0y el software asociado han sido sujetos a pruebas\u00a0rigurosas de desarrollo de software y ciclo de vida incluyendo pruebas de unidad, sistema, aceptaci\u00f3n y regresi\u00f3n y modelado de amenazas, adem\u00e1s de mantener un inventario de la fuente de cualquier c\u00f3digo y\/o componentes de terceros o de c\u00f3digo abierto. Utilice una t\u00e9cnica de endurecimiento de c\u00f3digos y sistemas generalmente aceptada abordando un rango de supuestos de uso cotidiano, incluyendo la prevenci\u00f3n de p\u00e9rdidas de datos entre el dispositivo, las aplicaciones y los servicios en la nube. Para desarrollar software seguro se debe pensar en la seguridad desde el comienzo del proyecto hasta su implementaci\u00f3n, puesta a prueba y lanzamiento. Los dispositivos deber\u00edan enviarse con software actual y\/o actualizaciones autom\u00e1ticas push en el primer encendido para abordar cualquier vulnerabilidad cr\u00edtica conocida.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>10. Lleve a cabo evaluaciones de riesgo de seguridad y de cumplimiento para todos los proveedores de servicios y de la nube. Vea la gu\u00eda de recursos IoT\u00a0<a href=\"https:\/\/otalliance.org\/IoT\">https:\/\/otalliance.org\/IoT<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>11. Desarrolle y mantenga una \u00ablista de materiales\u00bb incluyendo software, firmware, hardware\u00a0y bibliotecas de terceros (como m\u00f3dulos de c\u00f3digo abierto y plug ins). Esto se aplica al dispositivo, los servicios m\u00f3viles y los de la nube para ayudar a remediar vulnerabilidades informadas r\u00e1pidamente.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td>12. Dise\u00f1e dispositivos con los requisitos m\u00ednimos necesarios para su operaci\u00f3n. Por ejemplo, los puertos USB o ranuras para tarjetas de memoria solo deben incluirse si son necesarios para el funcionamiento y mantenimiento del dispositivo. Los puertos y servicios que no se usen deber\u00edan ser inhabilitados.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\">\n<h6>Credenciales y acceso del usuario<\/h6>\n<\/td>\n<\/tr>\n<tr>\n<td>13. Incluya autenticaci\u00f3n\u00a0fuerte predeterminada, que requiera brindar contrase\u00f1as \u00fanicas, generadas por el sistema o de un solo uso; o alternativamente use credenciales de certificado seguro. Donde sea necesario, requiera el uso de contrase\u00f1as \u00fanicas para el acceso administrativo, delimitando dispositivos y servicios y el respectivo impacto de los restablecimientos de f\u00e1brica.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>14. Brinde mecanismos\u00a0de recuperaci\u00f3n generalmente aceptados para aplicaciones IoT\u00a0y contrase\u00f1as de apoyo y\/o mecanismos para el restablecimiento de credenciales empleando verificaci\u00f3n y autenticaci\u00f3n\u00a0multi-factor (correo electr\u00f3nico y tel\u00e9fono, etc.) cuando no hay una contrase\u00f1a de usuario.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>15. Tome medidas para protegerse contra \u00abfuerza bruta\u00bb y\/u otros intentos de inicio de sesi\u00f3n agresivos (como bots\u00a0de inicio de sesi\u00f3n automatizada, etc.) bloqueando o inhabilitando cuentas de apoyo de usuarios o dispositivos despu\u00e9s de una cantidad razonable de intentos de inicio de sesi\u00f3n inv\u00e1lidos.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>16. Brinde al os\u00a0usuarios una notificaci\u00f3n de cambio o restablecimiento de contrase\u00f1a empleando autenticaci\u00f3n\u00a0segura y\/o avisos fuera de banda.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>17. Las credenciales de autenticaci\u00f3n, incluyendo, pero no limitadas a contrase\u00f1as de usuarios, deben tener sal, una funci\u00f3n hash\u00a0y\/o estar encriptadas. Se aplica a todas las credenciales guardadas para ayudar a prevenir el a acceso no autorizado y los ataques de fuerza bruta.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>\n<h6>Privacidad, divulgaciones y transparencia<\/h6>\n<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>18. Aseg\u00farese de que las pol\u00edticas de privacidad, seguridad y apoyo sean f\u00e1ciles de encontrar y est\u00e9n siempre disponibles para su revisi\u00f3n\u00a0<u>antes<\/u>\u00a0de la compra, activaci\u00f3n, descarga o inscripci\u00f3n. Adem\u00e1s de una colocaci\u00f3n prominente en el envase del producto y en su sitio web, se recomienda a las empresas emplear c\u00f3digos QR, url\u00a0cortos y f\u00e1ciles de usar y otros m\u00e9todos similares en el punto de venta.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>19. Divulgue la duraci\u00f3n y el fin del ciclo de vida del soporte de seguridad y parches (pasada la garant\u00eda del producto). El apoyo puede terminar en una fecha determinada, como el 1 de enero de 2025, o luego un periodo\u00a0de tiempo espec\u00edfico desde el momento de la compra, semejante a una garant\u00eda tradicional. Idealmente tales divulgaciones deber\u00edan alinearse con la vida \u00fatil esperada del dispositivo\u00a0y ser comunicadas al consumidor antes de la compra. <em>(Se reconoce que los dispositivos IoT no pueden ser seguros y aceptar parches indefinidamente.<\/em><em> Considere comunicar\u00a0los riesgos de usar un dispositivo luego del fin de su vida \u00fatil, y el impacto y el riesgo hacia los dem\u00e1s si las advertencias son ignoradas o el dispositivo no es dado de baja).<\/em> Si los usuarios deben pagar aranceles o suscribirse a un acuerdo de apoyo anual, esto debe divulgarse antes de la compra.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>20. Divulgue de manera visible qu\u00e9 datos de informaci\u00f3n personal y tipos de datos y atributos delicados se recolectan y c\u00f3mo son utilizados, limitando la recolecci\u00f3n a los datos que son razonablemente \u00fatiles para el funcionamiento y el prop\u00f3sito para el cual est\u00e1n siendo recolectados. Divulgue y brinde al consumidor la opci\u00f3n\u00a0de compartir para cualquier otro prop\u00f3sito.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>21. Divulgue qu\u00e9 caracter\u00edsticas dejar\u00e1n de funcionar y c\u00f3mo lo har\u00e1n si la conectividad o los servicios de backend son interrumpidos o inhabilitados, incluyendo, pero no limitado al potencial impacto sobre la seguridad f\u00edsica. Incluya lo que ocurre cuando el dispositivo ya no recibe actualizaciones de seguridad o si el usuario no actualiza el dispositivo.<em> (Considere incorporar controles para inhabilitar la conectividad\u00a0o los puertos para mitigar potenciales amenazas, mientras mantenga la funcionalidad clave del producto, bas\u00e1ndose en el uso del dispositivo, contrarrestando\u00a0potenciales asuntos de vida\/seguridad).<\/em><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>22. Divulgue la pol\u00edtica de retenci\u00f3n de datos y la duraci\u00f3n de almacenamiento de informaci\u00f3n personal<em>.<\/em><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>23. Los dispositivos IoT\u00a0deben enviar un aviso y\/o solicitar la confirmaci\u00f3n del usuario durante el primer aparejamiento, inducci\u00f3n y\/o conexi\u00f3n con otros dispositivos, plataformas o servicios.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>24. Divulgue\u00a0si la posesi\u00f3n del dispositivo\/producto\/servicio IoT\u00a0puede transferirse y c\u00f3mo puede hacerse (ej., un hogar conectado vendido a un nuevo propietario o la venta de un monitor de actividad f\u00edsica).<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>25. Solo\u00a0comparta\u00a0los datos personales de los consumidores con terceros si tiene el consentimiento de los consumidores, a menos que sea requerido y limitado para el uso de caracter\u00edsticas del producto o la operaci\u00f3n del servicio. Requiera que los terceros proveedores de servicios est\u00e9n sujetos a las mismas pol\u00edticas, incluyendo mantener en confidencialidad dichos datos y el requisito de dar aviso en el caso de cualquier p\u00e9rdida\/violaci\u00f3n de datos y\/o acceso no autorizado.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>26. Brinde controles y\/o documentaci\u00f3n para que el consumidor pueda revisar y editar las preferencias de privacidad\u00a0del\u00a0dispositivo IoT, incluida la posibilidad de \u00abrestablecer las configuraciones de f\u00e1brica\u00bb.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>27. Comprom\u00e9tase a no vender o transferir ning\u00fan dato de informaci\u00f3n personal de los consumidores a menos que sea una parte dependiente de la venta o liquidaci\u00f3n de la empresa que originalmente recolect\u00f3 los datos, solo si la pol\u00edtica de privacidad de la parte adquisidora no cambia materialmente los t\u00e9rminos. De no ser as\u00ed debe darse aviso y solicitar consentimiento.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>28. Brinde la posibilidad de que el consumidor devuelva el producto sin cargo luego de revisar las pr\u00e1cticas de privacidad que son presentadas antes del uso, si dichos t\u00e9rminos no fueran visiblemente divulgados antes de la compra. El tiempo (n\u00famero de d\u00edas) para la devoluci\u00f3n de un producto debe ser congruente con las pol\u00edticas de cambio actuales del revendedor, o especificado de antemano.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>29. Cuando sea\u00a0que se presente la oportunidad de rechazar o no participar de una pol\u00edtica, las consecuencias deben estar\u00a0clara\u00a0y objetivamente explicadas, incluido cualquier impacto en las caracter\u00edsticas o funcionalidad del producto. Se recomienda que el valor para el usuario de participar y\/o compartir datos se comunique al consumidor final.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>30. Cumpla con regulaciones aplicables,\u00a0incluyendo,\u00a0pero no limitadas al\u00a0Children\u2019s Online\u00a0Privacy\u00a0Protection Act (COPPA) y los requerimientos regulatorios internacionales de privacidad, seguridad y transferencia de datos.<a href=\"#_edn3\" name=\"_ednref3\">[3]<\/a><a href=\"#_edn4\" name=\"_ednref4\">[4]<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>31. Publique el historial de cambios materiales en el aviso de privacidad durante un m\u00ednimo de dos a\u00f1os. Las mejores pr\u00e1cticas incluyen poner el sello de la fecha, corregir y resumir el\u00a0impacto\u00a0de los cambios.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>32. Brinde\u00a0la posibilidad al usuario o proxy\u00a0de eliminar, o hacer an\u00f3nimos, datos personales o delicados almacenados en servidores de la empresa (que no sea el\u00a0historial de la transacci\u00f3n de compra) al discontinuar el uso del dispositivo o si este se perdiera o se vendiera.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td>33. Brinde la posibilidad de restablecer el dispositivo a sus condiciones de f\u00e1brica, incluyendo la posibilidad de eliminar datos del usuario en caso de transferencia, alquiler, p\u00e9rdida o venta.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td colspan=\"2\">\n<h6>Notificaciones y mejores pr\u00e1cticas relacionadas<\/h6>\n<\/td>\n<\/tr>\n<tr>\n<td>34. Las comunicaciones con el consumidor final, incluyendo, pero no limitadas a correo electr\u00f3nico\u00a0y SMS, deben adoptar protocolos de autenticaci\u00f3n\u00a0para ayudar a prevenir el spear-phishing\u00a0y la suplantaci\u00f3n. Los dominios deber\u00edan implementar SPF, DKIM\u00a0y DMARC para todas las comunicaciones y avisos relacionados con la\u00a0seguridad y\u00a0la privacidad y tambi\u00e9n\u00a0para dominios aparcados y aquellos que nunca env\u00edan correos electr\u00f3nicos.<a href=\"#_edn5\" name=\"_ednref5\">[5]<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>35. Para comunicaciones por correo electr\u00f3nico, dentro de los 180 d\u00edas luego de haber publicado una pol\u00edtica DMARC, implemente una pol\u00edtica de rechazo o cuarentena, que a ayuda a los ISP\u00a0y a las redes receptoras a rechazar correos electr\u00f3nicos que no pasan los chequeos\u00a0de autenticaci\u00f3n de correo electr\u00f3nico.<a href=\"#_edn6\" name=\"_ednref6\">[6]<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td>36. Los vendedores de IoT\u00a0que usen comunicaci\u00f3n mediante correo electr\u00f3nico deber\u00edan adoptar un nivel de confidencialidad de transporte, incluyendo t\u00e9cnicas de seguridad generalmente aceptadas para ayudar a que las comunicaciones sean seguras y a mejorar la privacidad e integridad del mensaje (tambi\u00e9n conocido como \u00abTLS\u00a0oportunista para correo electr\u00f3nico\u00bb).<a href=\"#_edn7\" name=\"_ednref7\">[7]<\/a><\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td>37. Implemente medidas para ayuda a prevenir o poner en evidencia cualquier manipulaci\u00f3n f\u00edsica de los dispositivos. Tales medidas ayudan a proteger al dispositivo de ser abierto o modificado con intenciones maliciosas luego de su instalaci\u00f3n o de ser devueltos al revendedor en un estado comprometido.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td>38. Considere como adaptarse a los requisitos de accesibilidad para usuarios que puedan tener discapacidades visuales, auditivas o motrices para maximizar el acceso para usuarios de todos los niveles de habilidad f\u00edsica.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/open-1.jpg\" alt=\"\" width=\"17\" height=\"16\" \/><\/td>\n<\/tr>\n<tr>\n<td>39. Desarrolle procesos de comunicaci\u00f3n para maximizar la sensibilizaci\u00f3n de los usuarios hacia cualquier problema potencial de seguridad o privacidad, hacia avisos de fin de la vida \u00fatil y posibles retiros de productos, incluyendo notificaciones dentro de la aplicaci\u00f3n. Las comunicaciones deber\u00edan ser escritas para maximizar la comprensi\u00f3n en el nivel de lectura del usuario general. Considere las comunicaciones\u00a0multiling\u00fces, reconociendo que el ingl\u00e9s puede ser el \u00absegundo idioma\u00bb del usuario (vea los principios relacionados con respecto a la seguridad e integridad de los mensajes).<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<tr>\n<td>40. Promulgue un plan de respuesta ante violaciones y de aviso al consumidor que sea revaluado, probado y actualizado por lo menos anualmente y\/o luego cambios significativos de sistema interno, t\u00e9cnicos y\/u operacionales.<\/td>\n<td><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.internetsociety.org\/wp-content\/uploads\/2018\/05\/filled-1.jpg\" alt=\"\" width=\"14\" height=\"12\" \/><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Recursos y actualizaciones publicados en\u00a0<\/strong><a href=\"https:\/\/otalliance.org\/IoT\"><strong>https:\/\/otalliance.org\/IoT<\/strong><\/a><\/p>\n<p><strong>Terminolog\u00eda, definiciones y aclaraciones<\/strong><\/p>\n<ol>\n<li>Alcance &#8211; Enfocado en dispositivos y servicios \u00abpara el consumidor para el hogar y la empresa, incluyendo tecnolog\u00eda ponible.\u00bb Los coches inteligentes, incluyendo veh\u00edculos aut\u00f3nomos, autoconducidos\u00a0adem\u00e1s de dispositivos m\u00e9dicos y datos HIPAA<a href=\"#_edn8\" name=\"_ednref8\">[8]<\/a>est\u00e1n m\u00e1s all\u00e1 del alcance del marco, pero la mayor\u00eda de los criterios se consideran aplicables. Entran bajo supervisi\u00f3n regulatoria\u00a0del\u00a0National Highway Traffic Safety Administration (NHTSA) y la\u00a0Food and Drug Administration (FDA). <a href=\"#_edn9\" name=\"_ednref9\">[9]<\/a><\/li>\n<li>Los t\u00e9rminos fabricantes de dispositivos, vendedores, desarrolladores de aplicaciones, proveedores de servicios y operadores de plataformas se hallan todos indicados con el t\u00e9rmino \u00abempresas\u00bb.<\/li>\n<li>Se espera que las empresas divulguen las instancias en las cuales compartan datos con la polic\u00eda\u00a0y que hagan referencia a cualquier informe de transparencia aplicable seg\u00fan sea permitido por la ley.<\/li>\n<li>Los dispositivos inteligentes refieren a dispositivos y sensores que est\u00e9n en una red y puede que solo tengan comunicaciones en un sentido.<\/li>\n<\/ol>\n<p><em>La OTA\u00a0es una iniciativa dentro de Internet Society\u00a0(ISOC), una organizaci\u00f3n sin fines de lucro ben\u00e9fica 501c3 con la misi\u00f3n de promover el desarrollo, evoluci\u00f3n y uso abierto de Internet para el beneficio de todas las personas alrededor del mundo. La misi\u00f3n de OTA es aumentar la confianza en l\u00ednea, usar empoderamiento e innovaci\u00f3n\u00a0convocando iniciativas de m\u00faltiples actores, desarrollando y promocionando pr\u00e1cticas recomendadas, pr\u00e1cticas de privacidad responsables y administraci\u00f3n de datos. Para aprender m\u00e1s visite\u00a0<a href=\"https:\/\/otalliance.org\">https:\/\/otalliance.org<\/a>\u00a0y\u00a0<a href=\"https:\/\/www.internetsociety.org\/es\/\">https:\/\/www.internetsociety.org<\/a>.<\/em><\/p>\n<p><em>El material de esta publicaci\u00f3n es exclusivamente para uso educativo e informativo. Ni el editor, ni la Online Trust Alliance\u00a0(OTA), ni Internet Society\u00a0(ISOC), sus miembros, ni los autores asumen ninguna responsabilidad por errores u omisiones ni por c\u00f3mo esta publicaci\u00f3n o sus contenidos son empleados o interpretados ni por cualquier consecuencia que pueda resultar directa o indirectamente del uso de esta publicaci\u00f3n. Ni la OTA\u00a0ni ISOC\u00a0hacen aseveraciones ni respaldan las pr\u00e1cticas de seguridad, privacidad o negocios de las empresas que elijan adoptar las recomendaciones delimitadas. Para obtener consejo legal o de cualquier otro tipo, por favor consulte a su abogado personal o al profesional adecuado. Las ideas expresadas\u00a0en esta publicaci\u00f3n no necesariamente reflejan las idea de las empresas miembro o las organizaciones afiliadas de\u00a0OTA\u00a0y ISOC. OTA\u00a0y ISOC\u00a0NO HACEN GARANT\u00cdAS, EXPL\u00cdCITAS, IMPL\u00cdCITAS O ESTATUTARIAS, SOBRE LA INFORMACI\u00d3N EN ESTE DOCUMENTO.<\/em><\/p>\n<p><strong>Notas<\/strong><\/p>\n<p><a href=\"#_ednref1\" name=\"_edn1\">[1]<\/a><a href=\"https:\/\/otalliance.org\/resources\/always-ssl-aossl\">https:\/\/otalliance.org\/resources\/always-ssl-aossl<\/a><br \/>\n<a href=\"#_ednref2\" name=\"_edn2\">[2]<\/a><a href=\"https:\/\/otalliance.org\/blog\/responsible-coordinated-ethical-vulnerability-disclosures\">https:\/\/otalliance.org\/blog\/responsible-coordinated-ethical-vulnerability-disclosures<\/a><br \/>\n<a href=\"#_ednref3\" name=\"_edn3\">[3]<\/a> Las empresas, productos y servicios deben cumplir con todas las leyes o regulaciones de la jurisdicci\u00f3n que gobierne su recolecci\u00f3n y manejo de informaci\u00f3n personal y delicada, incluyendo pero no limitado al respeto\u00a0riguroso del Privacy\u00a0Shield\u00a0Framework\u00a0de E.E.U.U.-UE\u00a0<a href=\"http:\/\/www.commerce.gov\/privacyshield\">www.commerce.gov\/privacyshield<\/a> y\/o el\u00a0General Data Protection Regulation (GDPR) de la Uni\u00f3n Europea\u00a0<a href=\"http:\/\/www.eugdpr.org\">www.eugdpr.org<\/a>. El incumplimiento de estos puede constituir el incumplimiento de este marco.<br \/>\n<a href=\"#_ednref4\" name=\"_edn4\">[4]<\/a> COPPA <a href=\"https:\/\/www.ftc.gov\/enforcement\/rules\/rulemaking-regulatory-reform-proceedings\/childrens-online-privacy-protection-rule\">https:\/\/www.ftc.gov\/enforcement\/rules\/rulemaking-regulatory-reform-proceedings\/childrens-online-privacy-protection-rule<\/a><br \/>\n<a href=\"#_ednref5\" name=\"_edn5\">[5]<\/a> Autenticaci\u00f3n de correos electr\u00f3nicos &#8211; <a href=\"https:\/\/otalliance.org\/eauth\">https:\/\/otalliance.org\/eauth<\/a><br \/>\n<a href=\"#_ednref6\" name=\"_edn6\">[6]<\/a> DMARC &#8211;<a href=\"https:\/\/otalliance.org\/resources\/dmarc\">https:\/\/otalliance.org\/resources\/dmarc<\/a><br \/>\n<a href=\"#_ednref7\" name=\"_edn7\">[7]<\/a> TLS for Email &#8211; <a href=\"https:\/\/otalliance.org\/best-practices\/transport-layered-security-tls-email\">https:\/\/otalliance.org\/best-practices\/transport-layered-security-tls-email<\/a><br \/>\n<a href=\"#_ednref8\" name=\"_edn8\">[8]<\/a> Departamento de Salud y Servicios Sociales de los\u00a0Estados Unidos, Privacidad de datos de salud\u00a0<a href=\"http:\/\/www.hhs.gov\/hipaa\/index.html\">http:\/\/www.hhs.gov\/hipaa\/index.html<\/a><br \/>\n<a href=\"#_ednref9\" name=\"_edn9\">[9]<\/a><a href=\"http:\/\/www.nhtsa.gov\/Vehicle+Safety\">http:\/\/www.nhtsa.gov\/Vehicle+Safety<\/a> y\u00a0<a href=\"http:\/\/www.fda.gov\/MedicalDevices\/default.htm\">http:\/\/www.fda.gov\/MedicalDevices\/default.htm<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El Marco de confianza IoT (IoT\u00a0Trust\u00a0Framework\u00ae) incluye un juego de principios estrat\u00e9gicos necesarios para asegurar dispositivos IOT y sus datos cuando son enviados y a trav\u00e9s de su ciclo de vida. A trav\u00e9s de un proceso de m\u00faltiples actores impulsado por el consenso, se han identificado criterios para tecnolog\u00edas conectadas del hogar, la oficina y [&hellip;]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[157,171,4910],"tags":[6248,4350,2796],"region_news_regions":[6030],"content_category":[6106],"ppma_author":[4057],"class_list":["post-79864","resources","type-resources","status-publish","hentry","category-iot-es","category-privacidad","category-fortalecimiento-de-internet","tag-internet-de-las-cosas-iot","tag-online-trust-alliance-es","tag-ota-es","region_news_regions-global","resource_types-ota-es","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/es\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"El Marco de confianza IoT (IoT\u00a0Trust\u00a0Framework\u00ae) incluye un juego de principios estrat\u00e9gicos necesarios para asegurar dispositivos IOT y sus datos cuando son enviados y a trav\u00e9s de su ciclo de vida. A trav\u00e9s de un proceso de m\u00faltiples actores impulsado por el consenso, se han identificado criterios para tecnolog\u00edas conectadas del hogar, la oficina y&hellip;","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/resources\/79864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/media?parent=79864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/categories?post=79864"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/tags?post=79864"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/region_news_regions?post=79864"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/content_category?post=79864"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/ppma_author?post=79864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}