Reino Unido ha anunciado una nueva normativa de seguridad para los productos electrónicos que prohíbe que se utilicen contraseñas universales por defecto en dispositivos conectados, incluidos los del Internet de las Cosas (IoT), con multas para los fabricantes que no lo cumplan.
Con este Proyecto de ley de infraestructura de telecomunicaciones y seguridad de productos (PSTI), propuesto al Parlamento británico este miércoles, Reino Unido busca «proteger los productos tecnológicos de las personas de los ‘hackers'», como ha informado el Departamento para Digital, Cultura, Medios y Deportes del Gobierno británico.
La ley se centra en productos con conexión a Internet, o del IoT, entre los que se encuentran ‘smartphones’, tabletas, televisores, altavoces, juguetes electrónicos o pulseras de actividad, entre otros.
Reino Unido se propone incrementar la seguridad de los productos conectados, y el proyecto contempla la prohibición de las contraseñas universales por defecto, que vienen configuradas en los productos.
Según una investigación reciente de Which?, la media de productos presente en un hogar hace que estén expuestos a más de 12.000 ‘hackeos’ o ataques cada semana. Solo en la primera mitad de 2021 hubo 1.500 millones de intentos de ataques a dispositivos del IoT, el doble de los registrados en todo 2020.
En los casos en los que tanto los fabricantes como los importadores o distribuidores de productos nuevos, estos no podrán utilizar contraseñas predefinidas como ‘contraseña’ o ‘admin’, y sus claves tendrán que ser únicas y no podrán resetearse a contraseñas universales por defecto.
En caso de incumplimiento, el Gobierno británico contempla multas para las empresas que pueden llegar a 10 millones de libras (11,88 millones de euros al cambio) o el 4 por ciento de su facturación anual.
El proyecto de ley incluye otras obligaciones para las empresas que vendan productos conectados deberán informar a los consumidores sobre el tiempo mínimo durante el que el dispositivo recibirá actualizaciones de seguridad o si no dispone de ellas desde el principio, lo que les hace más vulnerables a ataques.
Las nuevas normas también requieren a los fabricantes que proporcionen un punto de contacto público para que sea más sencillo que cualquier investigador de ciberseguridad pueda ponerse en contacto con ellos cuando descubran alguna vulnerabilidad o problemas de seguridad.
