El Reino Unido prohibirá las contraseñas universales predeterminadas para dispositivos IoT (Internet de las cosas) en virtud de su nueva ley de seguridad tecnológica, que incluye fuertes sanciones para las empresas que no cumplan con las normas.
Hablemos de dispositivos IoT
Para poder comprender mejor, es necesario tener claridad de lo que hablamos. Seguramente en algún momento has escuchado hablar sobre los dispositivos IoT, ya que es un concepto que se ha puesto de moda, pero ¿Qué es exactamente?
Este concepto se refiere a la agrupación e interconexión de los dispositivos u objetos a través de una red (privada, internet o red de redes), donde todos pueden ser visibles y tener interacción.
Los dispositivos pueden ser muchos, desde dispositivos mecánicos hasta sensores en objetos cotidianos como el refrigerador, juguetes o celulares.
Hay un sin fin de cosas que pueden ser conectadas a internet y tener interacción sin necesidad de la intervención humana. Así nos referimos a una conexión máquina a máquina, bien conocida como interacción M2M (machine to machine).
Su ámbito de aplicación es muy amplio y cada día se desarrollan más dispositivos que hacen posible esta tecnología. Dicha tecnología almacena datos, que después manda a la red para analizarlos.
En este proceso de comunicación es dónde surge la necesidad de establecer protocolos para el intercambio de información.
La prohibición de Reino Unido para contraseñas predeterminadas
El Parlamento del Reino Unido aprobó una nueva ley de seguridad tecnológica para tratar de evitar que los usuarios sean víctimas de hackeos a través de sus dispositivos IoT.
En dicha ley, Gran Bretaña prohibiría las contraseñas predeterminadas y trabajará para crear un «firewall alrededor de la tecnología cotidiana».
Es así que, el proyecto de ley, llamado «Proyecto de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI)»obligará a los fabricantes, distribuidores y compañías a incluir contraseñas únicas en sus dispositivos IoT, con lo que evitarán que esas contraseñas se restablezcan a los valores predeterminados de fábrica.
Las sanciones
Asimismo, el proyecto de ley también obligará a las compañías a aumentar la transparencia sobre cuándo sus productos requieren actualizaciones o parches de seguridad, ya que actualmente sólo el 20% de las empresas participan en dicha práctica.
Estas propuestas de seguridad tecnológica serán supervisadas por un regulador y las empresas que se nieguen a cumplir con dichas normas de seguridad podrían ser multadas con hasta 10 millones de libras o el 4% de sus ingresos globales.
«Todos los días, los piratas informáticos intentan ingresar a los dispositivos inteligentes de las personas… la mayoría de nosotros asumimos que si un producto está a la venta, es seguro y protegido.Sin embargo, muchos no lo están, lo que pone a muchos de nosotros en riesgo de fraude y robo»
Julia López, Ministra de medios, datos e infraestructura digital del Reino Unido
Por lo tanto, la propuesta pretende evitar hackeos por contraseñas débiles como «12345», «abc123» o «admin». Según un informe de la empresa Symantec, el 55% de las contraseñas en dispositivos IoT eran «123456», mientras que el 3% de los dispositivos hackeados utilizaban la contraseña «admin».
Por otro lado, también se sabe que los dispositivos IoT son notoriamente inseguros porque no cuentan con un sistema de encriptación de datos.
Según un informe de «Palo Alto Networks» el 98% del tráfico de los dispositivos no están encriptados.
REino Unido, el ejemplo para otros países
Estas medidas tomadas por el gobierno británico podrían servir como ejemplo para otros países.
El año pasado EE.UU. aprobó un proyecto de ley de seguridad para dispositivo IoT, pero nunca estableció sanciones monetarias por contraseñas débiles.
Lo único que hicieron con dicha legislación, llamada «Ley de mejora de la ciberseguridad de IoT» fue solicitar al «Instituto Nacional de Estándares y Tecnología del Departamento de Comercio» el establecimiento de un conjunto de requisitos mínimos de seguridad para dispositivos IoT y pidieron que los actualizaran cada 5 años.
