Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsUK prohíbe las malas contraseñas y exige otros requisitos por ley

41


El Reino Unido establece una nueva legislación que
prohíbe las malas contraseñas predeterminadas de los dispositivos
inteligentes.

Las nuevas leyes significan que los proveedores también deben dejar claro
durante cuánto tiempo recibirán las actualizaciones

Los fabricantes de dispositivos inteligentes tendrán que respetar las nuevas
reglas en el Reino Unido a partir de hoy, con leyes que entrarán en vigor para
dificultar que los ciberdelincuentes accedan a hardware como teléfonos y
tabletas.

La Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de
2022 (Ley PSTI) tiene como objetivo hacer cumplir los estándares mínimos de seguridad que
deben cumplir todos los fabricantes de dispositivos.

De los tres requisitos principales que todos los dispositivos inteligentes
deben cumplir, el envío de dispositivos con contraseñas predeterminadas
fácilmente descifrables es posiblemente el principal. Se permiten contraseñas
predeterminadas, pero si se pueden descubrir fácilmente en línea, infringirán
la ley.

El NCSC enfatiza que contraseñas como «123456», «password» y «qwerty» se explotan con frecuencia en ataques. Instan a los usuarios a adoptar contraseñas únicas y más seguras para cada cuenta en línea para reforzar su seguridad. El director técnico del NCSC, Ian Levy, enfatiza que incluso acciones aparentemente triviales, como usar una contraseña segura y única, pueden afectar significativamente la ciberseguridad. Levy recomienda además a los usuarios que habiliten la autenticación de dos factores (2FA) siempre que sea posible, ya que agrega una capa adicional de protección contra el acceso no autorizado.

Hace tiempo que viene.
«Comenzamos a informar sobre la propuesta de Ley PSTI en 2021 e incluso en
el primer inicio del proyecto de ley, su objetivo principal era eliminar
estas contraseñas triviales»
.

El profesor Alan Woodward, científico informático de la Universidad de Surrey
en Inglaterra, especializado en seguridad,
dijo a The Register:
«Creo que es un gran primer paso. Sin duda, mejor que el vacío que teníamos
anteriormente. Se centra en lo básico porque la gran mayoría de los ataques
exitosos siguen siendo simples factores de higiene, como contraseñas
débiles»
.

La Ley PSTI recientemente instaurada también obliga a los fabricantes a
proporcionar un punto de contacto para las personas que informen sobre
problemas de seguridad, y también deben dejar claro el período mínimo
durante el cual el dispositivo recibirá actualizaciones de seguridad.

No existen reglas específicas que estipulen cuál debe ser ese período mínimo
de tiempo, pero cualquiera que sea la vida útil del producto, debe comunicarse
claramente a los clientes.

  • La Ley PSTI se aplica a cualquier dispositivo inteligente de consumo que se
    conecte directamente a Internet o a una red doméstica. Dichos dispositivos
    incluyen:
  • Dispositivos de entretenimiento: Smart TV, dispositivos de streaming,
    parlantes inteligentes, consolas de juegos, teléfonos inteligentes y
    tabletas con conectividad celular
  • Vigilancia del hogar: timbres con video, cámaras de seguridad para el hogar
    y monitores para bebés
  • Electrodomésticos: Bombillas, enchufes, hornos, frigoríficos, lavadoras,
    termostatos, hervidores de agua.
  • Dispositivos portátiles como rastreadores de actividad física y relojes
    inteligentes

Coincidiendo con la introducción de la Ley PSTI, el Centro Nacional de
Seguridad Cibernética (NCSC) del Reino Unido
emitió un paper
[PDF] para las personas que desean reforzar la seguridad de su dispositivo,
completo con su guía de larga data para crear contraseñas
usando tres palabras aleatorias.

Si bien la legislación ha sido ampliamente bienvenida como un primer paso
importante y necesario, los expertos han destacado algunas preocupaciones
clave. Tim Callan, director de experiencia de Sectigo, dijo que las leyes no
van lo suficientemente lejos y van por detrás de los estándares recomendados
en Europa.

«Las leyes de seguridad de IoT del Reino Unido sólo exigirán que los
dispositivos cumplan con tres de los 13 estándares del Instituto Europeo de
Estándares de Telecomunicaciones (ETSI)»
, dijo Callan.
«Eso todavía deja una brecha importante en nuestras defensas para que los
delincuentes informáticos se infiltren en nuestros dispositivos
inteligentes. Si el Reino Unido quiere tomarse realmente en serio la
seguridad de nuestros dispositivos, debe presionar a las empresas para que
hagan más»
.

A la Oficina de Normas y Seguridad de Productos (OPSS) se le ha encomendado la
tarea de hacer cumplir las nuevas reglas a los proveedores, lo cual tiene
mucho sentido dado que ya era responsable de las regulaciones de seguridad de
productos existentes en el Reino Unido.

El incumplimiento de la Ley PSTI es un delito penal para los fabricantes
nacionales y extranjeros, y el castigo oficial es una multa de £10 millones
($12,5 millones) o el 4 por ciento de los ingresos mundiales calificados (lo
que sea mayor).

Woodward dijo:
«Mi gran preocupación es si el gobierno la aplicará o no. La nueva ley
tiene la capacidad de multar a los proveedores con cantidades
significativas, y eso hace que las operaciones comerciales tomen nota. Sin
embargo, sólo si saben que es una amenaza real. Realmente espero que el
gobierno use el poder de esta ley para tomar medidas enérgicas contra las
malas prácticas, particularmente de los proveedores donde construyen a un
precio determinado y la seguridad es una idea de último momento»
.

Fuente:
The Register



Source link

Los comentarios están cerrados.