El gobierno del Reino Unido declara la guerra al cibercrimen: se prohibirán las contraseñas predeterminadas débiles

UK Bans IoT Devices With Default Passwords

Ayer, Matt Warman, Ministro del Departamento de Digital, Cultura, Medios y Deporte (DCMS) de Gran Bretaña, dijo a The Telegraph que él y su equipo quieren convertir al Reino Unido en "el lugar más seguro para estar en línea". Esto suena bien, pero pregúntale a cualquier político en cualquier país, y te dirán exactamente lo mismo sobre el terreno del que son responsables. Los funcionarios electos de Gran Bretaña, sin embargo, creen que saben cómo hacerlo.

DCMS anunció que está trabajando en una legislación que prohíbe las ventas en el Reino Unido de dispositivos IoT que vienen con contraseñas débiles y predeterminadas. El departamento propondrá un proyecto de ley que, según espera, será bien recibido por los miembros del Parlamento y se convertirá en una ley. "Lo antes posible" fue lo más cercano a una ETA que el Gobierno pudo encontrar, lo cual no es exactamente un marco de tiempo sólido como una roca, pero por el lado positivo, siempre que suceda, la prohibición de contraseñas predeterminadas en dispositivos inteligentes seguramente será buenas noticias, verdad?

El gobierno británico comprende el problema hasta cierto punto

La buena noticia es que cada vez más personas comienzan a darse cuenta de cuál es el problema. La ola interminable de artilugios conectados a Internet ha transformado nuestra vida cotidiana, pero posiblemente ha tenido un efecto aún más profundo en el panorama de amenazas en línea. Muchos de los artilugios de IoT que compramos por millones son increíblemente fáciles de comprometer, y pueden actuar como un vehículo para cualquier cosa, desde bromas (relativamente) inofensivas hasta ataques DDoS disruptivos y ciberacoso.

Piratear una bombilla inteligente, un monitor para bebés u otra tecnología IoT suele ser tan fácil como usar un motor de búsqueda especializado y buscar en Google la marca y el modelo para obtener las credenciales de inicio de sesión predeterminadas. En ciertos casos, probar combinaciones simples como "123456" es todo lo que se necesita. DCMS cree que prohibir las contraseñas débiles y predeterminadas puede hacer que la vida de los hackers sea mucho más difícil. Pero, ¿la legislación propuesta realmente tendrá el efecto deseado?

Las contraseñas predeterminadas y débiles son solo una parte del problema

La contraseña predeterminada a menudo ha sido aclamada como la razón principal de la lamentable seguridad de IoT. Esto es (al menos en parte) porque al público en general le resulta más fácil entender cómo funciona este tipo de ataque. Esta es también la razón por la cual la contraseña fácilmente disponible es lo primero que buscan los legisladores. Sin embargo, la verdad es que, con frecuencia, las credenciales de inicio de sesión predeterminadas son solo una parte del problema.

El año pasado, por ejemplo, la Comisión Europea emitió un retiro para un lote de relojes inteligentes para niños por cuestiones de privacidad. En ese caso, el problema no era la contraseña predeterminada, sino el hecho de que los dispositivos estaban transfiriendo grandes volúmenes de información confidencial sin cifrarla de ninguna manera. Hay varios otros ejemplos que no tienen nada que ver con el proceso de autenticación, pero que aún sirven como prueba de cuán pobre es la seguridad de algunos dispositivos IoT.

Las razones del estado actual de las cosas son bastante claras para cualquiera que haya prestado mucha atención a la llamada revolución de IoT. Los vendedores están en una carrera para satisfacer un deseo recientemente descubierto de conectar artículos cotidianos a Internet de la manera más rápida y económica posible. Los diseños se apresuran y se construyen con un presupuesto reducido, y dado que se supone que todos estos artilugios traen un poco de novedad, la facilidad de uso tiene prioridad sobre cualquier problema de privacidad o seguridad.

El gobierno del Reino Unido sabe que el problema va más allá de la contraseña predeterminada. La prohibición propuesta de dispositivos que utilizan credenciales de inicio de sesión débiles es parte de un código más amplio de mejores prácticas sobre seguridad de IoT. Elaborado en 2018, incluye muchos otros puntos que, por el momento, son simplemente recomendaciones. Si se convierten en una ley, los proveedores de IoT se verán obligados a tener plataformas de informes de vulnerabilidad pública, e incluso podrían comenzar a poner etiquetas de advertencia en sus productos para informar a los usuarios que los piratas informáticos pueden atacar los dispositivos inteligentes. Desafortunadamente, no estamos seguros de que incluso esto sea suficiente.

Los vendedores y usuarios deben comenzar a tomarse la seguridad más en serio

IoT ya ha estado en el centro de más de unos pocos incidentes importantes de seguridad cibernética, y el Gobierno del Reino Unido no es el primer organismo regulador en darse cuenta de que se debe hacer algo. De hecho, una ley que prohíbe el uso de contraseñas predeterminadas se aprobó en el Estado de California en 2018, y el 1 de enero entró en vigencia. Todavía no hemos visto cuán efectivo será, pero estamos bastante seguros de que otros gobiernos locales y nacionales también seguirán su ejemplo.

El problema es que la legislación solo puede llevarte lejos. La cantidad de factores que rigen la seguridad de un solo dispositivo IoT es alucinante, y regularlos no es posible. Para mejorar la situación, necesitamos un cambio fundamental en la forma en que piensan tanto los proveedores como los usuarios.

Incluso si asumimos que las leyes recientes instarán a los fabricantes a crear un sistema de inicio de sesión más seguro, no habrá nada que les impida construir el resto de su infraestructura de backend de la manera más rápida, económica e insegura posible. Los agujeros de seguridad que se encuentran en muchos dispositivos de IoT muestran que algunos proveedores deben darse cuenta de que son responsables de mantener a sus clientes seguros y reordenar sus listas de prioridades en consecuencia. Dicho esto, no podemos echar toda la culpa a los vendedores.

La mentalidad de "no me va a pasar a mí" que muchas personas han adoptado no nos está haciendo ningún favor. Los proveedores de IoT tienden a enviar sus productos con una contraseña predeterminada porque esto hace que configurar un dispositivo por primera vez sea más fácil y rápido. Sin embargo, también incluyen una función que permite cambiar la contraseña predeterminada, y el hecho simple es que muchos clientes no la usan.

El objetivo de IoT es traer solo cambios positivos a nuestras vidas, pero está bastante claro que en su forma actual, también está causando algunos problemas. Los legisladores británicos y californianos están tratando de resolver algunos de ellos, pero el cambio real solo puede venir de las personas que diseñan y usan los dispositivos inteligentes.

En Duran
January 28, 2020
News
Spanish
January 28, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.