El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) urge a los fabricantes de dispositivos inteligentes a cumplir con una nueva legislación que prohíbe el uso de contraseñas predeterminadas a partir del 29 de abril de 2024.
La legislación, conocida como el acta PSTI, busca que los consumidores elijan dispositivos diseñados para brindar protección continua contra ataques cibernéticos. Exige a los fabricantes no suministrar dispositivos con contraseñas predeterminadas predecibles, proveer un punto de contacto para informar problemas de seguridad, y declarar la duración esperada de actualizaciones de seguridad.
Las contraseñas predeterminadas son fáciles de encontrar en línea y pueden ser utilizadas por actores malintencionados para explotar los dispositivos. La ley permite una contraseña predeterminada única.
La legislación se aplica a dispositivos como altavoces inteligentes, televisores, timbres, monitores para bebés, teléfonos, tabletas, consolas de juegos, dispositivos de actividad física y electrodomésticos inteligentes.
Las empresas que no cumplan con la ley pueden enfrentar retiros del mercado y multas de hasta £10 millones ($12.5 millones) o el 4% de sus ingresos anuales globales.
Con esta medida, el Reino Unido se convierte en el primer país en prohibir las contraseñas predeterminadas para dispositivos de IoT. Los ataques basados en Mirai continúan siendo prevalentes a pesar del desmantelamiento del botnet original en 2016, según el informe de amenazas de DDoS de Cloudflare.
Además, la Comisión Federal de Comunicaciones (FCC) de EE. UU. impuso una multa de $196 millones a operadores de telecomunicaciones por compartir ilegalmente datos de ubicación en tiempo real de clientes sin su consentimiento.
Vía The Hacker News