Por qué es importante: No importa cuántos hackeos veamos perpetrados a través de contraseñas predeterminadas débiles y sin cambios en los dispositivos, los fabricantes continúan usando «contraseña» y «admin» para las credenciales de inicio de sesión. Ese ya no será el caso en el Reino Unido, que se ha convertido en el primer país del mundo en prohibir a los fabricantes utilizar credenciales predeterminadas fácilmente adivinables en los dispositivos conectados.
Una actualización de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) del Reino Unido establece que cada dispositivo con conectividad en línea debe enviarse con una contraseña aleatoria o generar una contraseña tras la inicialización.
De acuerdo con la requisitoslas contraseñas preinstaladas no pueden ser incrementales (contraseña1, contraseña2) y no pueden relacionarse de manera obvia con información pública como direcciones MAC o SSID de Wi-Fi.
También existen reglas para garantizar que los dispositivos estén protegidos contra ataques de fuerza bruta, incluida una limitación en la cantidad de intentos de autenticación dentro de un tiempo determinado. Mientras tanto, el cambio de contraseñas debe realizarse mediante un «mecanismo simple».
El software que no se ha actualizado es otra forma común en que los piratas informáticos comprometen sistemas y dispositivos. El PSTI establece que los componentes de software deben poder actualizarse de forma segura, buscar actualizaciones y actualizarse automáticamente o de una manera que sea sencilla de aplicar para los usuarios. También hay una sección sobre la implementación de medios para gestionar informes de vulnerabilidades, que instruye a los fabricantes a monitorear, identificar y rectificar continuamente las vulnerabilidades de seguridad dentro de los productos y servicios que venden.
Estas no son sólo recomendaciones que los fabricantes pueden ignorar si así lo desean. Violar la ley puede resultar en una multa de hasta £10 millones (alrededor de $12,5 millones) o el 4% de los «ingresos mundiales calificados» de una empresa, dependiendo de cuál sea mayor.
Las reglas actualizadas están diseñadas para mitigar incidentes como el mirai botnet en 2016 que provocó grandes cortes en Internet, incluidos Twitter, Netflix y Reddit. La botnet estaba formada por cientos de miles de dispositivos infectados diseñados para inundar sitios web con tráfico basura. Resultó en uno de los mayores ataques de denegación de servicio distribuido (DDoS) jamás registrados.
En julio del año pasado, la administración Biden anunció la Cyber Trust Mark. programa, diseñado para ayudar a los estadounidenses a identificar qué dispositivos conectados cumplen con los requisitos de ciberseguridad del gobierno, incluido tener contraseñas predeterminadas seguras. Sin embargo, a diferencia del Reino Unido, la participación de las empresas es voluntaria y los detalles del proyecto de ley aún se están debatiendo antes de su implementación.
