El Reino Unido acaba de prohibir las contraseñas predeterminadas y nosotros también deberíamos

Imagen del artículo titulado El Reino Unido acaba de prohibir las contraseñas predeterminadas y nosotros también deberíamos

Imagen: Eric Piermont (imágenes falsas)

Los legisladores del Reino Unido están hartos y cansados de mierda Internet de las Cosas contraseñas y están lanzando legislación con fuertes sanciones y prohibiciones para probarlo. El nuevo legislación, presentado al Parlamento del Reino Unido esta semana, prohibiría las contraseñas universales predeterminadas y trabajaría para crear lo que los partidarios llaman un “firewall alrededor de la tecnología cotidiana”.

Específicamente, el proyecto de ley, llamado Proyecto de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI), requeriría contraseñas únicas para los dispositivos conectados a Internet y evitaría que esas contraseñas se restablezcan a los valores predeterminados de fábrica universales. El proyecto de ley también obligaría a las empresas a aumentar la transparencia sobre cuándo sus productos requieren actualizaciones y parches de seguridad, una práctica en la que solo participan actualmente el 20% de las empresas, según un comunicado que acompaña al proyecto de ley.

Estas propuestas de seguridad reforzadas serían supervisadas por un regulador con dientes afilados: las empresas que se niegan a cumplir con los estándares de seguridad podrían enfrentar multas de £ 10 millones o el cuatro por ciento de sus ingresos globales.

“Todos los días, los piratas informáticos intentan ingresar a los dispositivos inteligentes de las personas”, dijo la ministra de Medios, Datos e Infraestructura Digital del Reino Unido, Julia López, en un declaración. “La mayoría de nosotros asumimos que si un producto está a la venta, es seguro y protegido. Sin embargo, muchos no lo están, lo que pone a muchos de nosotros en riesgo de fraude y robo “.

Las reglas intentarían abordar de manera significativa lo que se ha convertido en un flagelo de contraseñas de IoT débiles cada vez más susceptibles a los atacantes. Y no estamos hablando de contraseñas débiles, pero útiles. De acuerdo a

Según un informe de 2020 realizado por la empresa de ciberseguridad Symantec, el 55% de las contraseñas de IoT utilizadas en los ataques de IoT eran “123456”. Otro 3% de los dispositivos atacados tenían la contraseña “admin”. Los dispositivos de IoT también son notoriamente inseguros fuera de las contraseñas. Un reciente reporte de Palo Alto Networks descubrió que el 98% de todo el tráfico de dispositivos de IoT no estaba cifrado.

El problema solo está empeorando, especialmente a medida que los dispositivos domésticos inteligentes ganan popularidad masiva y se vuelven más asequibles. Aunque estimados varían, la cantidad total de dispositivos IoT globales podría aumentar a más de 20 mil millones para 2030. Eso ya se está traduciendo en más ataques. Hace solo dos meses, Kaspersky Labs dicho Publicación de amenazas que tenía detectó 1.500 millones de ataques de IoT solo en la primera mitad de 2021. Eso es el doble de lo que detectó en los últimos seis meses de 2020.

Las empresas de IoT también tratan habitualmente de echar la culpa a los clientes cuando sus prácticas de seguridad mediocres dan como resultado infracciones o ataques. Ese fue, quizás el más famoso, el caso de la empresa de seguridad inteligente para el hogar Ring, que intentó afirmar un aumento en las cuentas comprometidas fue el resultado de que los clientes reutilizaron las contraseñas. En respuesta, Ring y su propietario Amazon se encontraron en el extremo receptor de una demanda colectiva. demanda judicial presentada a fines de 2019 acusando a la compañía de negligencia por no asegurar adecuadamente sus dispositivos. Fo lo que vale, Ring tiene desde que hizo algo significativo mejoras en el departamento de seguridad, incluida la exigencia de autenticación de dos factores en dispositivos nuevos y, más recientemente, la adición de un extremo a otro cifrado.

Sin embargo, el enfoque sensato de las contraseñas del Reino Unido podría servir como un ejemplo para los imitadores en los EE. UU. Y en otros lugares. Estados Unidos en realidad aprobado un importante proyecto de ley de seguridad de IoT el año pasado, pero no llegó a emitir sanciones o prohibiciones de contraseñas débiles. Más bien, la legislación, llamada Ley de mejora de la ciberseguridad de IoT, ordena al Instituto Nacional de Estándares y Tecnología del Departamento de Comercio que establezca un conjunto mínimo de requisitos de seguridad para los dispositivos de IoT y que esos estándares se actualicen cada cinco años.

La ley también requiere que los contratistas implementen políticas de divulgación de vulnerabilidades. Pero si bien estas disposiciones son un paso en la dirección correcta, son en gran medida limitado a empresas que realicen negocios con el gobierno federal.

Por el contrario, el proyecto de ley propuesto por el Reino Unido cubriría un alcance mucho más amplio. de divisiones y fabricantes y, lo que es más importante, proporcionar palos monetarios claros para impulsar el cumplimiento. Los incentivos y las zanahorias son solo útil hasta cierto punto. Sin embargo, la seguridad falla, particularmente en Los dispositivos IoT no son nada nuevo y hasta ahora no han respondido en su mayoría a ningún empujones del mercado. Sanciones claras, o al menos la amenaza de ellas, podrían ofrecer una vía para el cambio real.

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.