Integridad en dispositivos Linux embebidos bajo el Reglamento de Ciberresiliencia

Fuentes: Integrity on Embedded Linux Devices under the Cyber Resilience Act

El Reglamento de Ciberresiliencia de la UE (CRA) establece, en su Anexo I Parte I(2), que los productos con elementos digitales comercializados en el mercado europeo deben proteger la integridad de los datos, comandos, programas y configuraciones almacenados, transmitidos o procesados, frente a manipulaciones no autorizadas por el usuario, e informar de las corrupciones detectadas. Este requisito resulta especialmente relevante para los dispositivos Linux embebidos, que deben acreditar su cumplimiento antes del 11 de diciembre de 2027, fecha en la que entrarán en vigor las obligaciones principales, con sanciones de hasta 15 millones de euros o el 2,5 % del volumen de negocios anual mundial.

El alcance de la exigencia es amplio: no se limita a datos personales, sino que abarca también programas, comandos y configuración. El fabricante debe elaborar un modelo de amenazas que identifique los activos susceptibles de modificación (cargador de arranque, kernel, línea de comandos del kernel, binarios de aplicación, ficheros de configuración o mensajes intercambiados con otros sistemas) y definir los controles adecuados para cada uno.

Entre los mecanismos habituales se citan el arranque seguro, las actualizaciones firmadas con protección contrarollback, la verificación de integridad de datos en reposo, el control de acceso mediante permisos del sistema de archivos o módulos de seguridad Linux como SELinux y AppArmor, la integridad de datos en tránsito mediante TLS y los entornos de ejecución de confianza (TEE). El texto subraya que ninguna medida aislada cubre el requisito y que la combinación de tecnologías debe ajustarse al modelo de amenazas de cada producto.