Reino Unido implementa una prohibición oficial de contraseñas predeterminadas débiles

A partir del 29 de abril de este año, los fabricantes de dispositivos inteligentes en el Reino Unido deberán seguir nuevas reglas destinadas a endurecer las medidas de seguridad para teléfonos, tabletas y otros dispositivos inteligentes. La Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones de 2022 ( PSTI Act ) establece estándares mínimos de seguridad que todos los dispositivos deben cumplir.

Uno de los principales requisitos es que los dispositivos no deben venir con contraseñas predeterminadas de fábrica que sean fáciles de adivinar. Ya no se podrán usar contraseñas simples como «12345».

El profesor Alan Woodward, experto en seguridad de la Universidad de Surrey, ubicada en la ciudad británica de Guildford, respalda esta ley, describiéndola como «un excelente primer paso» y señala que la mayoría de los ataques exitosos están relacionados con infracciones de seguridad simples, como contraseñas débiles.

La ley también exige que los fabricantes proporcionen un contacto para informar problemas de seguridad e informen sobre el período mínimo de actualizaciones de seguridad para el dispositivo.

La PSTI Act se aplica a cualquier dispositivo inteligente para consumidores que se conecte a Internet o a una red doméstica, incluidos dispositivos de entretenimiento, sistemas de vigilancia domésticos, electrodomésticos y dispositivos portátiles.

Tras la implementación de las nuevas reglas, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) incluso publicó un folleto con recomendaciones para crear contraseñas utilizando tres palabras aleatorias.

Tim Callan, principal experto en experiencia de usuario en Sectigo, opinó que la nueva ley aún se queda corta en comparación con los estándares recomendados en Europa. Señaló que la legislación británica solo requiere el cumplimiento de tres de los trece estándares del Instituto Europeo de Normas de Telecomunicaciones (ETSI).

La Oficina de Normas y Seguridad de Productos (OPSS) es responsable de hacer cumplir las nuevas reglas, lo cual es lógico dada su función previa en la regulación de la seguridad de productos en el país.

El profesor Woodward también expresó su preocupación sobre si el gobierno hará cumplir eficazmente la nueva ley, destacando que las multas de hasta 10 millones de libras o el 4% de las ventas globales (la cantidad que sea mayor) podrían obligar a los fabricantes a prestar atención a los requisitos de la ley.

Para concluir, Woodward enfatizó lo prolongado que ha sido el camino hacia estos cambios, señalando que muchos expertos de la industria han estado pidiendo medidas similares durante mucho tiempo, pero que recién ahora la ley ha entrado oficialmente en vigor.