El Reino Unido establece una nueva legislación que prohíbe las malas contraseñas predeterminadas de los dispositivos inteligentes. Las nuevas leyes significan que los proveedores también deben dejar claro durante cuánto tiempo recibirán las actualizaciones
Los fabricantes de dispositivos inteligentes tendrán que respetar las nuevas reglas en el Reino Unido a partir de hoy, con leyes que entrarán en vigor para dificultar que los ciberdelincuentes accedan a hardware como teléfonos y tabletas.
La Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2022 (Ley PSTI) tiene como objetivo hacer cumplir los estándares mínimos de seguridad que deben cumplir todos los fabricantes de dispositivos.
De los tres requisitos principales que todos los dispositivos inteligentes deben cumplir, el envío de dispositivos con contraseñas predeterminadas fácilmente descifrables es posiblemente el principal. Se permiten contraseñas predeterminadas, pero si se pueden descubrir fácilmente en línea, infringirán la ley.
El NCSC enfatiza que contraseñas como "123456", "password" y "qwerty" se explotan con frecuencia en ataques. Instan a los usuarios a adoptar contraseñas únicas y más seguras para cada cuenta en línea para reforzar su seguridad. El director técnico del NCSC, Ian Levy, enfatiza que incluso acciones aparentemente triviales, como usar una contraseña segura y única, pueden afectar significativamente la ciberseguridad. Levy recomienda además a los usuarios que habiliten la autenticación de dos factores (2FA) siempre que sea posible, ya que agrega una capa adicional de protección contra el acceso no autorizado.
Hace tiempo que viene. "Comenzamos a informar sobre la propuesta de Ley PSTI en 2021 e incluso en el primer inicio del proyecto de ley, su objetivo principal era eliminar estas contraseñas triviales".
El profesor Alan Woodward, científico informático de la Universidad de Surrey en Inglaterra, especializado en seguridad, dijo a The Register: "Creo que es un gran primer paso. Sin duda, mejor que el vacío que teníamos anteriormente. Se centra en lo básico porque la gran mayoría de los ataques exitosos siguen siendo simples factores de higiene, como contraseñas débiles".
La Ley PSTI recientemente instaurada también obliga a los fabricantes a proporcionar un punto de contacto para las personas que informen sobre problemas de seguridad, y también deben dejar claro el período mínimo durante el cual el dispositivo recibirá actualizaciones de seguridad.
No existen reglas específicas que estipulen cuál debe ser ese período mínimo de tiempo, pero cualquiera que sea la vida útil del producto, debe comunicarse claramente a los clientes.
- La Ley PSTI se aplica a cualquier dispositivo inteligente de consumo que se conecte directamente a Internet o a una red doméstica. Dichos dispositivos incluyen:
- Dispositivos de entretenimiento: Smart TV, dispositivos de streaming, parlantes inteligentes, consolas de juegos, teléfonos inteligentes y tabletas con conectividad celular
- Vigilancia del hogar: timbres con video, cámaras de seguridad para el hogar y monitores para bebés
- Electrodomésticos: Bombillas, enchufes, hornos, frigoríficos, lavadoras, termostatos, hervidores de agua.
- Dispositivos portátiles como rastreadores de actividad física y relojes inteligentes
Coincidiendo con la introducción de la Ley PSTI, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido emitió un paper [PDF] para las personas que desean reforzar la seguridad de su dispositivo, completo con su guía de larga data para crear contraseñas usando tres palabras aleatorias.
Si bien la legislación ha sido ampliamente bienvenida como un primer paso importante y necesario, los expertos han destacado algunas preocupaciones clave. Tim Callan, director de experiencia de Sectigo, dijo que las leyes no van lo suficientemente lejos y van por detrás de los estándares recomendados en Europa.
"Las leyes de seguridad de IoT del Reino Unido sólo exigirán que los dispositivos cumplan con tres de los 13 estándares del Instituto Europeo de Estándares de Telecomunicaciones (ETSI)", dijo Callan. "Eso todavía deja una brecha importante en nuestras defensas para que los delincuentes informáticos se infiltren en nuestros dispositivos inteligentes. Si el Reino Unido quiere tomarse realmente en serio la seguridad de nuestros dispositivos, debe presionar a las empresas para que hagan más".
A la Oficina de Normas y Seguridad de Productos (OPSS) se le ha encomendado la tarea de hacer cumplir las nuevas reglas a los proveedores, lo cual tiene mucho sentido dado que ya era responsable de las regulaciones de seguridad de productos existentes en el Reino Unido.
El incumplimiento de la Ley PSTI es un delito penal para los fabricantes nacionales y extranjeros, y el castigo oficial es una multa de £10 millones ($12,5 millones) o el 4 por ciento de los ingresos mundiales calificados (lo que sea mayor).
Woodward dijo: "Mi gran preocupación es si el gobierno la aplicará o no. La nueva ley tiene la capacidad de multar a los proveedores con cantidades significativas, y eso hace que las operaciones comerciales tomen nota. Sin embargo, sólo si saben que es una amenaza real. Realmente espero que el gobierno use el poder de esta ley para tomar medidas enérgicas contra las malas prácticas, particularmente de los proveedores donde construyen a un precio determinado y la seguridad es una idea de último momento".
Fuente: The Register