España
La seguridad física y la ciberseguridad son ahora inseparables: la nueva generación de videovigilancia debe cumplir las estrictas normas de hardware que el gobierno de Estados Unidos exige para infraestructuras críticas, organismos gubernamentales e instalaciones militares.
Sin embargo, estas normas de alta seguridad ya no son solo para los contratistas gubernamentales. Actualmente, las empresas privadas, los responsables de TI de las empresas y los propietarios de viviendas preocupados por la seguridad adoptan cada vez más cámaras conformes con la NDAA para proteger sus redes de graves amenazas a la ciberseguridad y de vulnerabilidades ocultas. Esta guía explica qué significa la legislación, por qué es importante tanto para el sector público como para el privado y cómo verificar su equipamiento.
¿Qué es el cumplimiento de la NDAA?
Para entender en qué consiste el cumplimiento de la NDAA, primero hay que conocer la ley en la que se basa. La National Defense Authorization Act (NDAA) es una serie de leyes federales aprobadas anualmente por el gobierno estadounidense que especifican el presupuesto y los gastos del Departamento de Defensa.
En la NDAA de 2019, el Artículo 889 establece normas estrictas sobre determinados equipos de telecomunicaciones y de vigilancia contemplados en la NDAA. Prohíbe a los organismos públicos, contratistas federales y beneficiarios de subvenciones adquirir o utilizar equipos fabricados por determinadas empresas chinas (y sus subsidiarias o filiales) por motivos de seguridad nacional y privacidad de los datos.
Los principales fabricantes restringidos incluyen:
- Huawei Technologies Company
- ZTE Corporation
- Hangzhou Hikvision Digital Technology Company
- Dahua Technology Company
- Hytera Communications Corporation
Además, la Ley de Equipos Seguros impide a la FCC revisar o aprobar cualquier nuevo equipamiento de estas empresas, con lo que se paraliza la venta de sus nuevos dispositivos en el mercado estadounidense. La videovigilancia conforme a la NDAA se refiere a cámaras y dispositivos en red que no utilizan ningún componente esencial de estas entidades restringidas.
¿Por qué es importante cumplir la NDAA?
Para las agencias federales y los contratistas, la utilización de cámaras de seguridad conformes con la NDAA es un requisito legal estricto. El incumplimiento puede dar lugar a la pérdida de fondos federales, la rescisión del contrato y el pago de cuantiosas multas por infracción.
Pero, ¿por qué debería importarles esto a las empresas privadas o a los propietarios de viviendas? Los dispositivos conectados a la red, como las cámaras IP, se conectan directamente a su red. Si una cámara tiene el firmware comprometido o vulnerabilidades en el hardware, puede servir como punto de entrada para que los piratas informáticos accedan a datos confidenciales de la empresa, espíen operaciones privadas o lancen ataques de ransomware. Elegir cámaras de seguridad que cumplan con la NDAA proporciona un doble nivel de protección: protege sus instalaciones físicas al tiempo que defiende activamente su red digital contra las amenazas cibernéticas internacionales conocidas.
A la hora de proteger activos críticos, la integridad del hardware no es negociable. La actualización a videovigilancia profesional garantiza que su empresa utiliza equipamiento conforme y de alta seguridad que protege de vulnerabilidades tanto sus instalaciones físicas como su red digital.
¿Cómo asegurarse de que compra productos conformes con la NDAA?
La electrónica moderna se construye con componentes de todo el mundo, por lo que comprobar si una cámara cumple los requisitos de la NDAA requiere cierta investigación. Así es como debe verificar su equipamiento:
- Pregunte al fabricante: marcas de seguridad reputadas publican declaraciones oficiales de cumplimiento de la NDAA en sus sitios web. Si una empresa es transparente sobre su cadena de suministro, encontrar esta declaración debería ser fácil.
- Compruebe el fabricante de equipamiento original (OEM): muchas marcas de seguridad comercializan sus cámaras como «marca blanca», lo que significa que compran hardware fabricado por otra empresa y le colocan su propio logotipo. Debe asegurarse de que el fabricante original no figure en la lista de restricciones.
- Verifique el chipset interno: el artículo 889 también prohíbe los componentes internos críticos, como los System-on-Chips (SoC), fabricados por empresas restringidas. Una cámara puede seguir sin cumplir la normativa si su chip de procesamiento central procede de un fabricante prohibido.
¿Cómo auditar y actualizar su sistema actual?
Si sospecha que su sistema actual depende de hardware restringido, es hora de evaluar su red. Siga estos pasos prácticos para actualizar las cámaras a la normativa NDAA:
- Audite la seguridad existente: identifique la marca y el modelo de todas las cámaras, NVR (grabadores de vídeo en red) y otros dispositivos de vigilancia en red de su propiedad.
- Compruebe los orígenes del fabricante: compare su equipamiento con la lista de productos restringidos del artículo 889 de la NDAA para ver si contiene componentes prohibidos.
- Consulte a un integrador: asóciese con un integrador de seguridad cualificado que entienda los requisitos federales de cumplimiento para que le ayude a evaluar su hardware.
- Sustituya los dispositivos no conformes: cambie el equipamiento prohibido por alternativas homologadas de fabricantes transparentes y de confianza.
Una cámara de seguridad es solo una pieza del rompecabezas. La integración de dispositivos que cumplen con la normativa en un sistema de seguridad sólido garantiza que toda su propiedad cumpla con los más altos estándares de protección física y privacidad de datos.
Preguntas frecuentes
¿Qué es la NDAA?
La National Defense Authorization Act (NDAA) es una serie de leyes federales que especifican el presupuesto anual y las políticas del Departamento de Defensa de Estados Unidos. El artículo 889 de esta ley restringe específicamente el uso de determinado equipamiento de vigilancia y telecomunicaciones fabricado en el extranjero.
¿Prohíbe la NDAA todo el equipamiento de vigilancia fabricado en China?
No. La NDAA no impone una prohibición general de todos los productos electrónicos fabricados en China. Solo restringe el equipamiento y los componentes críticos fabricados por empresas concretas (como Hikvision, Dahua, Huawei, ZTE y Hytera) y sus filiales.
¿Qué ocurre si mi empresa no utiliza cámaras conformes con la NDAA?
Si recibe subvenciones federales o trabaja con el gobierno de Estados Unidos, podría perder la financiación, perder sus contratos y enfrentarse a sanciones económicas. Para las empresas privadas sin vínculos gubernamentales, el uso de cámaras que no cumplen la normativa expone su red a graves vulnerabilidades de ciberseguridad.
¿Con qué frecuencia cambia la lista de restricciones?
La NDAA se actualiza anualmente. Aunque la lista básica de fabricantes restringidos del Artículo 889 se ha mantenido relativamente estable, el gobierno puede añadir nuevas subsidiarias o filiales a medida que evolucionan las cadenas de suministro.
Conclusión
Elegir cámaras conformes con la NDAA es una inversión en ciberseguridad a largo plazo. Ya se trate de proteger un edificio federal, un comercio local o su propia casa, es fundamental conocer el origen de su hardware. Mediante la auditoría de sus dispositivos actuales y la actualización a una videovigilancia que cumpla todas las normas, se asegurará de que su propiedad permanece a salvo tanto de intrusos físicos como de amenazas digitales invisibles.
Roman Konchakivskyi
Director de la Ajax Academy
