imágenes falsas
Si construye un dispositivo que se conecta a Internet y lo vende en el Reino Unido, ya no podrá establecer la contraseña predeterminada como «contraseña». De hecho, se supone que no debes tener ninguna contraseña predeterminada.
Ya está en vigor una nueva versión de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PTSI) de 2022, que cubre casi todo lo que un consumidor puede comprar y que se conecta a la web. Según las pautas, incluso la placa Wi-Fi más pequeña debe tener una contraseña aleatoria o generar una contraseña al inicializarse (a través de una aplicación de teléfono inteligente u otros medios). Esta contraseña no puede ser incremental («contraseña1», «contraseña54») y no puede estar «relacionada de manera obvia con información pública», como direcciones MAC o nombres de redes Wi-Fi. Un dispositivo debe ser lo suficientemente resistente contra ataques de acceso por fuerza bruta, incluido el relleno de credenciales, y debe tener un «mecanismo simple» para cambiar la contraseña.
Hay más, y es igualmente obvio. Los componentes de software, cuando sea razonable, «deberían poder actualizarse de forma segura», deberían buscar actualizaciones y deberían actualizarse automáticamente o de una manera «fácil de aplicar para el usuario». Quizás lo más importante es que los propietarios de dispositivos pueden informar problemas de seguridad y esperar recibir respuesta sobre cómo se está manejando ese informe.
Las violaciones de las nuevas leyes sobre dispositivos pueden resultar en multas de hasta 10 millones de libras (aproximadamente 12,5 millones de dólares) o el 4 por ciento de los ingresos mundiales relacionados, lo que sea mayor.
Además de brindar a los consumidores mejores dispositivos, estas regulaciones están dirigidas directamente al malware como Mirai, que puede reclutar dispositivos como enrutadores, módems de cable y DVR en ejércitos capaces de realizar ataques distribuidos de denegación de servicio (DDoS) en varios objetivos.
Como señaló The Record, la Ley de Resiliencia Cibernética de la Unión Europea se ha elaborado pero aún no se ha aprobado ni aplicado, e incluso si se aprueba, no entraría en vigor hasta 2027. En los EE. UU., existe la Cyber Trust Mark, que al menos Al menos dar a los clientes la opción de comprar dispositivos con una seguridad decente o genialmente abandonados. Pero los detalles de esa etiqueta están bajo debate y aparentemente falta mucho para su implementación. A nivel federal, un proyecto de ley de 2020 encargó a los Institutos Nacionales de Estándares y Tecnología la aplicación de estándares relacionados a los dispositivos conectados implementados por los federales.