HBOM para Cumplimiento CRA: Guía de Hardware Bill of Materials

Mientras Qué SBOM (Software Bill of Materials) recibe la mayor atención, los productos con elementos digitales frecuentemente tienen componentes de hardware significativos, cada uno potencialmente conteniendo firmware con sus propias vulnerabilidades. HBOM (Hardware Bill of Materials) proporciona visibilidad sobre estos componentes físicos y su software embebido.

Esta guía explica HBOM en el contexto CRA.

¿Qué es HBOM?

Definición

Un Hardware Bill of Materials (HBOM) es un inventario estructurado de componentes físicos en un producto, típicamente incluyendo:

• Identificación de componentes (números de parte, fabricantes)
• Versiones/revisiones de hardware
• Versiones de firmware (embebido en componentes)
• Atributos relevantes para seguridad
• Información de cadena de suministro

HBOM vs. BOM Tradicional

BOM TRADICIONAL (Manufactura):
Enfoque: Producción y aprovisionamiento
Contenido: Piezas, cantidades, proveedores, costos
Uso: Manufactura, inventario, compras

HBOM (Enfocado en seguridad):
Enfoque: Seguridad y transparencia
Contenido: Componentes, firmware, atributos de seguridad
Uso: Gestión de vulnerabilidades, seguridad de cadena de suministro

SUPERPOSICIÓN:
Ambos listan componentes físicos
HBOM añade información relevante para seguridad
HBOM enlaza a contenido firmware/software

HBOM vs. SBOM

SBOM:
- Componentes de software
- Bibliotecas y dependencias
- Componentes del sistema operativo
- Código de aplicación

HBOM:
- Componentes de hardware
- Chips y módulos
- Firmware en componentes
- Funciones de seguridad física

RELACIÓN:
┌─────────────────────────────────────────────┐
│ Transparencia Completa del Producto         │
│                                             │
│  ┌─────────────┐    ┌─────────────┐        │
│  │    SBOM     │    │    HBOM     │        │
│  │             │    │             │        │
│  │ Aplicación  │    │ PCB         │        │
│  │ Bibliotecas │◄──►│ Chips       │        │
│  │ SO          │    │ Módulos     │        │
│  │ Firmware*   │    │ Firmware*   │        │
│  └─────────────┘    └─────────────┘        │
│                                             │
│  *Firmware aparece en ambos. Es software    │
│   ejecutándose en hardware                  │
└─────────────────────────────────────────────┘

Por Qué HBOM Importa para CRA

Requisitos CRA y Hardware

Mientras CRA se enfoca en "productos con elementos digitales," estos productos frecuentemente son dispositivos de hardware:

Definición CRA Artículo 3(1):

"'producto con elementos digitales' significa un producto de software o hardware y sus soluciones de procesamiento remoto de datos..."

Hardware Contiene Software:

• Microcontroladores tienen firmware
• Chips de red tienen código embebido
• Módulos de seguridad tienen software criptográfico
• Sensores pueden tener firmware de procesamiento

Requisito de Seguimiento de Vulnerabilidades

CRA requiere Qué los fabricantes:

• No tengan vulnerabilidades explotables conocidas
• Gestionen vulnerabilidades en componentes del producto
• Proporcionen actualizaciones de seguridad

Para productos de hardware, esto significa:

• Seguir vulnerabilidades en firmware de componentes
• Saber qué hay dentro de tu hardware
• Ser capaz de actualizar o mitigar vulnerabilidades de componentes

Trazabilidad de Cadena de Suministro

El Artículo 13(5) del CRA requiere diligencia debida apropiada para componentes:

"Los fabricantes ejercerán la diligencia debida al integrar componentes obtenidos de terceros..."

HBOM soporta esto documentando:

• Qué componentes están en tu producto
• Quién los suministra
• Qué versiones de firmware están presentes
• Qué funciones de seguridad tienen

Qué Incluir en HBOM

Información Central del Componente

ESTRUCTURA DE ENTRADA DE COMPONENTE HBOM

IDENTIFICACIÓN:
- Tipo de componente (MCU, módulo de radio, sensor, etc.)
- Nombre del fabricante
- Número de parte / Modelo
- Revisión de hardware

INFORMACIÓN DE FIRMWARE:
- Versión de firmware
- Proveedor de firmware (si diferente del HW)
- Capacidad de actualización
- Estado de vulnerabilidades conocidas

ATRIBUTOS DE SEGURIDAD:
- Soporte de arranque seguro
- Módulo de seguridad de hardware
- Resistencia a manipulación
- Capacidades criptográficas
- ID único / número de serie

CADENA DE SUMINISTRO:
- Proveedor directo
- País de origen (si conocido)
- Estado de fin de vida

Categorías de Componentes a Seguir

CATEGORÍAS DE COMPONENTES HBOM

PROCESAMIENTO:
- Procesador principal / MCU
- Co-procesadores
- FPGA / lógica programable
- Procesadores de aplicación

CONECTIVIDAD:
- Módulos WiFi
- Módulos Bluetooth
- Módems celulares
- Controladores Ethernet
- Radios LoRa / Zigbee / Thread

SEGURIDAD:
- TPM / Elementos seguros
- Módulos de seguridad de hardware
- Aceleradores cripto
- Memoria segura

ALMACENAMIENTO:
- Memoria Flash
- EEPROM
- Controladores de tarjeta SD

SENSORES:
- Sensores ambientales
- Sensores de movimiento
- Sensores biométricos
- Sensores de imagen

ENERGÍA:
- ICs de gestión de energía
- Gestión de batería

INTERFAZ:
- Controladores de display
- Controladores USB
- Codecs de audio

Consideraciones de Profundidad

NIVELES DE PROFUNDIDAD HBOM

NIVEL 1: Componentes Principales
- Procesador principal
- Módulos de conectividad
- Elementos de seguridad
- Componentes con firmware actualizable

NIVEL 2: Componentes Secundarios
- ICs de soporte
- Sensores
- Chips de memoria
- Gestión de energía

NIVEL 3: Componentes Pasivos/Simples
- Típicamente NO en HBOM
- Resistencias, condensadores
- Conectores simples
- Componentes no programables

RECOMENDACIÓN PARA CRA:
Enfocarse en Nivel 1 (crítico)
Incluir Nivel 2 si factible
Nivel 3 raramente relevante para seguridad

Opciones de Formato HBOM

HBOM CycloneDX

CycloneDX soporta componentes de hardware nativamente:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "component": {
      "type": "device",
      "name": "Smart Sensor Pro",
      "version": "2.0"
    }
  },
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": {
        "name": "Espressif Systems"
      },
      "description": "Módulo SoC WiFi+BT",
      "properties": [
        {
          "name": "firmware-version",
          "value": "4.4.1"
        },
        {
          "name": "secure-boot",
          "value": "supported"
        }
      ]
    },
    {
      "type": "device",
      "name": "ATECC608B",
      "version": "Rev B",
      "manufacturer": {
        "name": "Microchip"
      },
      "description": "Elemento Seguro",
      "properties": [
        {
          "name": "type",
          "value": "secure-element"
        }
      ]
    }
  ]
}

HBOM SPDX

SPDX también puede representar hardware:

SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: Smart-Sensor-Pro-HBOM
DocumentNamespace: https://example.com/hbom/ssp-2.0

PackageName: ESP32-WROOM-32E
SPDXID: SPDXRef-MCU
PackageVersion: Rev3
PackageSupplier: Organization: Espressif Systems
PackageDownloadLocation: NOASSERTION
FilesAnalyzed: false
PackageComment: Módulo principal WiFi+BT, firmware v4.4.1

SBOM+HBOM Unificado

La mejor práctica es frecuentemente un BOM unificado:

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "description": "Módulo de hardware"
    },
    {
      "type": "firmware",
      "name": "ESP-IDF",
      "version": "4.4.1",
      "description": "Firmware en ESP32"
    },
    {
      "type": "library",
      "name": "mbedtls",
      "version": "2.28.0",
      "description": "Biblioteca TLS en firmware"
    }
  ],
  "dependencies": [
    {
      "ref": "ESP32-WROOM-32E",
      "dependsOn": ["ESP-IDF"]
    },
    {
      "ref": "ESP-IDF",
      "dependsOn": ["mbedtls"]
    }
  ]
}

Creando y Manteniendo HBOM

Creación Inicial de HBOM

PROCESO DE CREACIÓN HBOM

PASO 1: INVENTARIAR HARDWARE
- Revisar esquemático / BOM de ingeniería
- Identificar componentes programables
- Notar componentes con firmware

PASO 2: RECOPILAR INFORMACIÓN
- Hojas de datos del fabricante
- Números de parte y revisiones
- Versiones de firmware de proveedores
- Información de funciones de seguridad

PASO 3: EVALUAR RELEVANCIA DE SEGURIDAD
- ¿El componente tiene firmware?
- ¿Se puede actualizar el firmware?
- ¿Maneja funciones de seguridad?
- ¿Está conectado a la red?

PASO 4: ESTRUCTURAR DATOS
- Elegir formato (CycloneDX recomendado)
- Introducir información de componentes
- Enlazar a SBOM de firmware donde aplique
- Documentar atributos de seguridad

PASO 5: VALIDAR
- Verificar contra BOM de ingeniería
- Verificar versiones de firmware
- Confirmar información de proveedores

Mantenimiento Continuo

PROCESO DE MANTENIMIENTO HBOM

DISPARADOR: Revisión de Hardware
- Actualizar entradas de componentes
- Notar cambios de versión
- Actualizar versiones de firmware

DISPARADOR: Actualización de Firmware
- Actualizar versión de firmware en HBOM
- Enlazar a SBOM actualizado para firmware
- Seguir cambios de estado CVE

DISPARADOR: Fin de Vida de Componente
- Marcar estado del componente
- Documentar plan de reemplazo
- Evaluar impacto de seguridad

DISPARADOR: Vulnerabilidad Descubierta
- Verificar HBOM para componentes afectados
- Evaluar explotabilidad
- Planificar remediación

REVISIÓN REGULAR:
- Verificación trimestral de precisión HBOM
- Revisión anual de cadena de suministro
- Monitorización de EOL de componentes

Soporte de Herramientas

OPCIONES DE HERRAMIENTAS HBOM

COMERCIALES:
- Finite State (análisis firmware/hardware)
- Cybellum (enfoque automotriz)
- Exein (seguridad embebida)

CÓDIGO ABIERTO:
- CycloneDX CLI (validación de formato)
- Herramientas SBOM (muchas soportan tipos hardware)

INTEGRACIÓN:
- Sistemas PLM (Product Lifecycle Management)
- Integración ERP para datos BOM
- CI/CD para SBOM de firmware

HBOM para Tipos de Producto Específicos

Dispositivos IoT

ENFOQUE HBOM DISPOSITIVO IoT

COMPONENTES CRÍTICOS:
- MCU/SoC principal (¡firmware!)
- Módulo de conectividad (WiFi, BT, celular)
- Elemento seguro (si presente)
- Sensores con capacidad de procesamiento

EJEMPLO DE ENTRADA:
Componente: Nordic nRF52840
Tipo: SoC BLE
Firmware: Zephyr RTOS 3.2.0
Arranque Seguro: Sí
Enlace SBOM: /sbom/nrf52840-firmware-v3.2.0.json

Equipos Industriales

ENFOQUE HBOM EQUIPOS INDUSTRIALES

COMPONENTES CRÍTICOS:
- PLC/controlador principal
- Módulos de comunicación (PROFINET, EtherNet/IP)
- Procesador HMI
- Controlador de seguridad (si separado)
- Módulos I/O con inteligencia

CONSIDERACIONES ESPECIALES:
- Componentes de ciclo de vida largo
- Seguimiento de componentes legacy
- Impacto de certificación de seguridad
- Alineación IEC 62443

Electrónica de Consumo

ENFOQUE HBOM ELECTRÓNICA DE CONSUMO

COMPONENTES CRÍTICOS:
- Procesador de aplicación
- Conectividad (WiFi, BT)
- Codecs de audio/vídeo
- Elementos de seguridad
- Controladores de almacenamiento

CONSIDERACIONES DE VOLUMEN:
- Cambios en aprovisionamiento de componentes
- Múltiples proveedores posibles
- Seguimiento de revisiones a escala

Integrando HBOM con Cumplimiento CRA

En el Expediente Técnico

SECCIÓN HBOM DEL EXPEDIENTE TÉCNICO

SECCIÓN: Inventario de Componentes (HBOM)

PROPÓSITO:
Documentar componentes de hardware con relevancia
de seguridad, soportando gestión de vulnerabilidades
y requisitos de diligencia debida de cadena de suministro.

CONTENIDOS:
1. Documento HBOM (formato CycloneDX)
2. Resumen de evaluación de seguridad de componentes
3. Seguimiento de versiones de firmware
4. Documentación de cadena de suministro

REFERENCIAS CRUZADAS:
- Enlace a SBOM para componentes de firmware
- Enlace a evaluaciones de seguridad de proveedores
- Enlace a registros de seguimiento de vulnerabilidades

Gestión de Vulnerabilidades

HBOM EN FLUJO DE VULNERABILIDADES

1. VULNERABILIDAD ANUNCIADA
   (ej., CVE en firmware ESP32)

2. VERIFICAR HBOM
   - ¿Qué productos usan ESP32?
   - ¿Qué versiones de firmware?
   - ¿Cuántas unidades afectadas?

3. EVALUAR IMPACTO
   - ¿Es la vulnerabilidad explotable en nuestro uso?
   - ¿Cuál es el nivel de riesgo?
   - ¿Hay mitigaciones disponibles?

4. REMEDIACIÓN
   - Actualización de firmware si disponible
   - Mitigación de configuración
   - Notificación a clientes

5. ACTUALIZAR REGISTROS
   - Actualizar versión de firmware en HBOM
   - Actualizar estado de vulnerabilidad
   - Documentar remediación

Diligencia Debida de Cadena de Suministro

HBOM PARA DILIGENCIA DEBIDA DE CADENA DE SUMINISTRO

REQUISITOS PARA PROVEEDORES:
- Solicitar HBOM de componentes de proveedores
- Requerir SBOM de firmware para módulos
- Establecer acuerdo de notificación de vulnerabilidades

INSPECCIÓN DE ENTRADA:
- Verificar Qué componente coincide con HBOM
- Verificar versión de firmware
- Validar funciones de seguridad

GESTIÓN DE CAMBIOS:
- Cambios de componente del proveedor → actualización HBOM
- Cualificación de segunda fuente → entrada HBOM
- Notificación EOL → actualización de estado HBOM

Lista de Verificación HBOM

LISTA DE VERIFICACIÓN IMPLEMENTACIÓN HBOM

INVENTARIO:
[ ] Todos los componentes programables identificados
[ ] Versiones de firmware documentadas
[ ] Funciones de seguridad anotadas
[ ] Proveedores registrados

FORMATO:
[ ] Formato estándar elegido (CycloneDX recomendado)
[ ] Esquema validado
[ ] Enlazado a SBOM donde aplique
[ ] Control de versiones

PROCESO:
[ ] Proceso de creación documentado
[ ] Disparadores de actualización definidos
[ ] Responsabilidad asignada
[ ] Calendario de revisión establecido

INTEGRACIÓN:
[ ] Incluido en expediente técnico
[ ] Enlazado a gestión de vulnerabilidades
[ ] Parte de requisitos de proveedores
[ ] Accesible para auditorías

MANTENIMIENTO:
[ ] Cambios de componentes seguidos
[ ] Actualizaciones de firmware reflejadas
[ ] Estado EOL monitorizado
[ ] Revisiones regulares de precisión

Desafíos Comunes

Desafío: Disponibilidad de Datos de Proveedores

Problema: Los proveedores no proporcionan información detallada de componentes.

Soluciones:

• Incluir requisitos HBOM en contratos con proveedores
• Solicitar SBOMs para módulos con firmware
• Usar hojas de datos disponibles públicamente
• Documentar limitaciones conocidas

Desafío: Variaciones de Componentes

Problema: Múltiples fuentes de componentes o revisiones en producción.

Soluciones:

• Seguir todas las variantes en HBOM
• Usar rangos de versión donde apropiado
• Enlazar HBOM a registros de producción
• Reconciliación regular

Desafío: Visibilidad del Firmware

Problema: No se puede determinar versión de firmware en componentes recibidos.

Soluciones:

• Requerir marcado de versión de firmware
• Implementar proceso de inspección de entrada
• Trabajar con proveedores en visibilidad
• Aceptar y documentar limitaciones

Recursos Clave

RECURSOS HBOM

ESTÁNDARES:
Especificación CycloneDX: https://cyclonedx.org
Especificación SPDX: https://spdx.dev

GUÍAS:
NTIA SBOM (incluye hardware): https://ntia.gov/sbom
Recursos SBOM de CISA: https://cisa.gov/sbom

HERRAMIENTAS:
Centro de Herramientas CycloneDX: https://cyclonedx.org/tool-center/
Finite State: https://finitestate.io

Cómo Ayuda CRA Evidence

CRA Evidence soporta gestión de HBOM:

• BOM unificado: Gestionar SBOM y HBOM juntos
• Seguimiento de componentes: Seguir componentes de hardware entre productos
• Enlace de firmware: Enlazar hardware a SBOMs de firmware
• Correlación de vulnerabilidades: Emparejar CVEs con componentes de hardware
• Integración expediente técnico: Incluir HBOM en documentación de cumplimiento

Comienza tu cumplimiento CRA en app.craevidence.com.

Artículos Relacionados

• SBOM para Cumplimiento CRA: Guía Completa de Software Bill of Materials -- Aprende a crear y gestionar SBOMs, el complemento obligatorio de tu HBOM.
• Expediente Técnico CRA: Qué Incluir y Cómo Prepararlo -- Comprende cómo el HBOM encaja en tu documentación técnica CRA general.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, consulte con asesoría legal cualificada.