El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) pide a los fabricantes de dispositivos inteligentes que cumplan con la nueva legislación que les prohíbe utilizar contraseñas predeterminadas, a partir del 29 de abril de 2024.
«La ley, conocida como Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (o ley PSTI), ayudará a los consumidores a elegir dispositivos inteligentes que hayan sido diseñados para brindar protección continua contra ataques cibernéticos», dijo el NCSC. dicho.
Con ese fin, los fabricantes deben no suministrar dispositivos que utilicen contraseñas predeterminadas adivinables, proporcionar un punto de contacto para informar problemas de seguridad e indicar la duración durante la cual se espera que sus dispositivos reciban actualizaciones de seguridad importantes.
Las contraseñas predeterminadas no sólo se pueden encontrar fácilmente en línea, sino que también actúan como un vector para que los actores de amenazas inicien sesión en los dispositivos para su posterior explotación. Dicho esto, la ley permite una contraseña predeterminada única.
La ley, que tiene como objetivo hacer cumplir un conjunto de estándares mínimos de seguridad en todos los ámbitos y evitar que los dispositivos vulnerables sean acorralados en un Botnet DDoS como Miraise aplica a los siguientes productos que se pueden conectar a Internet:
- Altavoces inteligentes, televisores inteligentes y dispositivos de transmisión
- Timbres inteligentes, monitores para bebés y cámaras de seguridad
- Tabletas móviles, teléfonos inteligentes y consolas de juegos
- Rastreadores de actividad física portátiles (incluidos relojes inteligentes)
- Electrodomésticos inteligentes (como bombillas, enchufes, hervidores, termostatos, hornos, frigoríficos, limpiadores y lavadoras)
Las empresas que no cumplan con las disposiciones de la ley PSTI pueden enfrentar retiradas del mercado y sanciones monetarias, atrayendo multas de hasta £10 millones ($12,5 millones) o el 4% de sus ingresos anuales globales, dependiendo de lo que sea mayor.
Este avance convierte al Reino Unido en el primer país del mundo en prohibir los nombres de usuario y contraseñas predeterminados de los dispositivos IoT. Según el informe de amenazas DDoS de Cloudflare para el primer trimestre de 2024, los ataques basados en Mirai siguen prevaleciendo a pesar de que la botnet original fue eliminada en 2016.
«Cuatro de cada 100 ataques DDoS HTTP y dos de cada 100 ataques DDoS L3/4 son lanzados por una botnet variante Mirai», Omer Yoachimik y Jorge Pacheco dicho. «El código fuente de Mirai se hizo público y, a lo largo de los años, ha habido muchas permutaciones del original».
También sigue un Multa de 196 millones de dólares emitida por la Comisión Federal de Comunicaciones (FCC) de EE. UU. contra los operadores de telecomunicaciones AT&T ($57 millones), Sprint ($12 millones), T-Mobile ($80 millones) y Verizon ($47 millones) por compartir ilegalmente los datos de ubicación en tiempo real de los clientes sin su consentimiento a los agregadores, quienes luego vendieron la información a terceros proveedores de servicios basados en la ubicación.
«Nadie que se haya suscrito a un plan de telefonía móvil pensó que estaba dando permiso a su compañía telefónica para vender un registro detallado de sus movimientos a cualquiera que tuviera una tarjeta de crédito», afirmó el senador estadounidense Ron Wyden, que reveló el práctica en 2018, dicho en una oracion.