Cuando compramos un nuevo dispositivo tecnológico, este suele tener unas contraseñas por defecto. Normalmente son muy básicas y a la mayoría se le olvida cambiarlas. Este descuido deja abierta una vulnerabilidad. Para ello, el Reino Unido ha decidido ilegalizar las contraseñas predeterminadas. De hecho, los fabricantes de cámaras, aparatos de seguridad para el hogar y módems ya no podrán elegir claves para los usuarios.
Televisores, asistentes vocales, lavadoras o alarmas, los hogares de los ciudadanos de todo el mundo están llenos de dispositivos inteligentes. Por desgracia, los posibles ataques de los que puede ser víctima un dispositivo IoT son más que en otros terminales, como los smartphones. De hecho, estos objetos a menudo son tan simples que no tienen pantallas para una interacción rápida y pueden dejarse desatendidos durante largos períodos.
Sin embargo, muchas veces no nos protegemos lo suficiente, y no cambiamos las contraseñas que se nos proponen los fabricantes al comprar o instalar un producto. La decisión británica, por lo tanto, se tomó con el objetivo de proteger a cualquiera que se esté preparando para comprar un nuevo dispositivo electrónico inteligente.
Julia López, ministra de Infraestructura Digital del Gobierno de Reino Unido, afirmó al respecto: “Todos los días los ciberdelincuentes intentan acceder a los dispositivos inteligentes instalados en los hogares de los ciudadanos. Muchos asumen que si un producto está en venta entonces también será seguro. Sin embargo, no es así. De hecho, corre el riesgo de convertirse en víctima de fraudes y robos».
El objetivo de Reino Unido es crear un «cortafuegos alrededor de la tecnología cotidiana». Específicamente, el proyecto de ley, denominado PSTI (Product Security and Telecommunications Infrastructure Bill), requiere contraseñas únicas para los dispositivos conectados a internet y evita que se puedan restablecer los ajustes predeterminados de fábrica.
Contraseñas IoT débiles significa poca seguridad
El proyecto de ley también obligaría a las empresas a ser más transparentes sobre cuándo sus productos necesitan actualizaciones y parches de seguridad. Una práctica utilizada actualmente por solo el 20 % de las marcas, según un comunicado adjunto al proyecto de ley. Estas medidas serían monitoreadas de cerca por un regulador. Las empresas que se nieguen a cumplir con los estándares de seguridad podrían enfrentarse a multas de casi 11,8 millones de euros. O el 4 % de sus ventas globales.
Las contraseñas débiles de los dispositivos IoT son cada vez más vulnerables. Según un informe de 2020 de la empresa de ciberseguridad Symantec, el 55 % de las contraseñas utilizadas en los ataques eran ‘123456′. Otro 3% de los dispositivos IoT atacados tenían la contraseña ‘admin’. Esta tecnología es notoriamente insegura, incluso más allá de las contraseñas. Un informe de Palo Alto Networks encontró que el 98 % de todo el tráfico de dispositivos IoT no estaba encriptado.
El problema empeora a medida que los dispositivos domésticos inteligentes se vuelven más populares y asequibles. A pesar de las diferentes estimaciones, la cantidad total de terminales IoT en el mundo podría superar los 20 000 millones en 2030. Esto producirá un aumento inevitable de los ataques. Según Kaspersky Labs, solo en la primera mitad de 2021 se detectaron 1500 millones de ataques a dispositivos IoT, el doble en comparación con los últimos seis meses de 2020. Las empresas productoras a menudo intentan culpar a los clientes cuando sus prácticas de seguridad mediocres conducen a infracciones.
Las leyes en el mundo
Ha sido el caso, por ejemplo, de la empresa de seguridad doméstica inteligente Ring. La compañía intentó defenderse de esta forma ante un aumento significativo de cuentas comprometidas por la reutilización de contraseñas por parte de los clientes. Ring y su propietario Amazon se encontraron en medio de una demanda colectiva presentada a finales de 2019. La compañía fue acusada de negligencia por no proteger adecuadamente sus dispositivos.
El enfoque del Reino Unido hacia las contraseñas podría servir como ejemplo para los demás. La Unión Europea publicó en 2020 las Directrices europeas para la seguridad IoT (ETSI EN 303 645 de junio de 2020), que serán la base de los esquemas de certificación para productos de IoT. Estas incluyen guardar de forma segura las credenciales de inicio de sesión, mantener el firmware actualizado y minimizar las superficies de ataque. Sin embargo, son solo recomendaciones.
Estados Unidos aprobó el año pasado una ley de seguridad, que sin embargo no impuso sanciones o prohibiciones para las contraseñas débiles. Más bien, la llamada Ley para la Mejora de la Ciberseguridad de IoT ordena al National Institute of Standards and Technology del Departamento de Comercio que establezca los requisitos mínimos de seguridad para los dispositivos y los actualice cada cinco años.
La ley también requiere que los contratistas implementen pautas de divulgación de vulnerabilidades. Pero, si bien estas disposiciones son un paso en la dirección correcta, en general se limitan a las empresas que hacen negocios con el gobierno federal. Por el contrario, el proyecto de ley del Reino Unido cubre un ámbito mucho más amplio. Más importante aún, proporciona herramientas claras de sanción para fomentar el cumplimiento de la ley. De hecho, sanciones claras, o al menos la amenaza de sanciones, podrían producir un cambio efectivo.
Por Alberto Barbieri
Imágenes | Dan LeFebvre/Unsplash, Mika Baumeister/Unsplash y BENCE BOROS/Unsplash
