El Gobierno de Reino Unido ha anunciado un nuevo proyecto de ley de seguridad tecnológica que incluye importantes medidas para evitar que los usuarios sean víctimas de hackeos a través de sus dispositivos electrónicos, tales como móviles, PCs o, incluso, juguetes y productos inteligentes para el hogar. Las medidas destacan, sobre todo, por la prohibición a los fabricantes de incluir contraseñas predeterminadas fáciles de adivinar y la obligación de informar sobre las actualizaciones de seguridad.
En concreto, el nuevo proyecto de ley de seguridad de productos e infraestructura de telecomunicaciones (PSTI, por sus siglas en inglés) obligará a las compañías, fabricantes y distribuidores, a incluir contraseñas únicas en sus dispositivos inteligentes. Se prohibirá, de este modo, el uso de claves genéricas que suelen estar presentes en una gran variedad de productos y que, a menudo, sean fáciles de adivinar. El gobierno británico, además, impedirá que los fabricantes incluyan la posibilidad de restablecer las contraseñas a valores predeterminados universales.
"No hay ninguna regulación para proteger a los consumidores de los daños causados por las infracciones cibernéticas, que pueden incluir el fraude y el robo de datos personales", asegura el Ministerio de Digital, Cultura, Medios y Deportes del Reino Unido.
La medida pretende evitar, por lo tanto, que los hackers puedan acceder a la configuración interna del dispositivo mediante una clave de serie, como "admin", "1234" o "password". Estas, de hecho, son muy utilizadas en productos para el hogar, como routers.
Prohibir las contraseñas predeterminadas no es la única medida
Otro de los puntos del nuevo proyecto de ley que van más allá de la prohibición de las contraseñas predeterminadas, es la obligación de los fabricantes a informar sobre el tiempo en el que un producto recibirá actualizaciones de seguridad. El objetivo, según el gobierno británico, es que los clientes puedan conocer cuándo un dispositivo podrá volverse más vulnerable y así tomar "mejores decisiones de compra". Las compañías, por otro lado, también deberán informar en caso de que el equipo no sea admisible para recibir este tipo de actualizaciones.
Una vez el proyecto de ley entre en vigor, se asignará a un regulador cuya función será la de exigir a las empresas que cumplan con la prohibición de utilizar contraseñas predeterminadas o informar sobre los parches de seguridad. También podrá obligar a las compañías a retirar sus productos del mercado en caso de que las infrinjan. El regulador, además, tendrá la capacidad de multar con hasta 10 millones de libras o el 4 % de sus ingresos globales si incumplen la normativa.
Si bien estas medidas entrarán en vigor próximamente en el Reino Unido, es probable —y esperamos— que las administraciones de otros países sigan los mismos pasos, como el prohibir las contraseñas predeterminadas. Sobre todo, teniendo en cuenta el auge de los dispositivos IoT para el hogar y el riesgo que puede suponer.