Si construye un dispositivo que se conecta a Internet y lo vende en el Reino Unido, ya no podrá establecer la contraseña predeterminada como «contraseña». De hecho, se supone que no debes tener ninguna contraseña predeterminada.
Una nueva versión del 2022 Ley de infraestructura de telecomunicaciones y seguridad de productos (PTSI) ya está en vigor y cubre casi todo lo que un consumidor puede comprar que se conecte a la web. Bajo las directrices, incluso la placa Wi-Fi más pequeña debe tener una contraseña aleatoria o generar una contraseña durante la inicialización (a través de una aplicación de teléfono inteligente u otros medios). Esta contraseña no puede ser incremental («contraseña1», «contraseña54») y no puede estar «relacionada de manera obvia con información pública», como direcciones MAC o nombres de redes Wi-Fi. Un dispositivo debe ser lo suficientemente resistente contra ataques de acceso por fuerza bruta, incluidos relleno de credencialesy debería tener un «mecanismo simple» para cambiar la contraseña.
Hay más, y es igualmente obvio. Los componentes de software, cuando sea razonable, «deberían poder actualizarse de forma segura», deberían buscar actualizaciones y deberían actualizarse automáticamente o de una manera «fácil de aplicar para el usuario». Quizás lo más importante es que los propietarios de dispositivos pueden informar problemas de seguridad y esperar recibir respuesta sobre cómo se está manejando ese informe.
Las violaciones de las nuevas leyes sobre dispositivos pueden resultar en multas de hasta 10 millones de libras (aproximadamente 12,5 millones de dólares) o el 4 por ciento de los ingresos mundiales relacionados, lo que sea mayor.
Además de ofrecer a los consumidores mejores dispositivos, estas regulaciones apuntan directamente a malware como Miraique puede reclutar dispositivos como enrutadores, módems de cable y DVR en ejércitos capaces de realizar ataques distribuidos de denegación de servicio (DDoS) en varios objetivos.
Como lo señaló El recordla Unión Europea Ley de Resiliencia Cibernética ha sido definido pero aún no ha sido aprobado ni aplicado, e incluso si se aprueba, no entraría en vigor hasta 2027. En los EE. UU., existe la Marca de confianza cibernética, lo que al menos daría a los clientes la opción de comprar dispositivos con una seguridad decente o genialmente abandonados. Pero los detalles de esa etiqueta están bajo debate y aparentemente falta mucho para su implementación. A nivel federal, un factura 2020 encargó a los Institutos Nacionales de Estándares y Tecnología la aplicación de estándares relacionados a los dispositivos conectados implementados por los federales.