Reino Unido legisla para un IoT más seguro
En la era de los datos, la seguridad y privacidad de los mismos ha escalado posiciones entre las preocupaciones no sólo de los usuarios, sino también de las autoridades. Y con la intención de responder a ello el Gobierno de Reino Unido, a través del Departamento de Ciencia, Innovación y Tecnología ha implementado una regulación pionera que busca proteger a los consumidores frente a posibles ataques cibernéticos.
La semana pasada entro en vigor en el mercado británico una normativa que exige que los dispositivos inteligentes conectados a internet cumplan con estándares mínimos de seguridad. En este sentido, se prohibirá a los fabricantes de dispositivos electrónicos contar con contraseñas predeterminadas débiles y fáciles de adivinar, como «12345», y en el caso de haber una contraseña común, se promoverá que el usuario la cambie al iniciar.
Reino Unido se convierte en el primer país en introducir este tipo de ley
Con este movimiento, Reino Unido se convierte en el primer país en introducir este tipo de ley. El objetivo es proteger a los usuarios frente a ciberdelincuentes y piratas informáticos que pudieran acceder a sus datos personales a través de todo tipo de dispositivos conectados, desde smartphones, hasta videoconsolas o neveras inteligentes. Ciertos vehículos quedarán fuera del ámbito de aplicación de la norma al estar cubiertos por una legislación alternativa.
La nueva regulación forma parte del programa de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI), diseñado para mejorar la resiliencia digital del país. Además de la citada prohibición sobre el uso de contraseñas débiles la ley también obligará a los fabricantes a publicar los datos de contacto para que se puedan informar y solucionar errores y problemas; y deberán ser transparentes respecto a los plazos para las actualizaciones de seguridad.
El gobierno británico considera que la nueva ley ayudará a aumentar la confianza de los consumidores a la hora de comprar y utilizar productos y, en consecuencia, impactará positivamente en el crecimiento de las empresas y la economía. Asegura también que ha colaborado con agentes de la industria para introducir esta serie de protecciones.
La autoridad británica acompañó la comunicación de la medida con datos procedentes de una investigación realizada por la plataforma Which?, que indica que un hogar con dispositivos inteligentes podría estar expuesto a más de 12.000 ataques cibernéticos en todo el mundo en una sola semana, con un total de 2.684 intentos de adivinar contraseñas predeterminadas débiles en sólo cinco dispositivos.
Desde Dinahosting, empresa tecnológica especializada en dominios y hostings, valoran positivamente la medida como una que podría acabar con los productos IoT (Internet of Things) de bajo coste. Con ello se refiere a la penetración de los dispositivos con conexión a internet que es posible adquirir a precios bajos porque, según señalan, los fabricantes dedican pocos recursos a la seguridad.
Esto hace, según nos explica Félix Barbeira, Responsable de Ciberseguridad y Operaciones en Dinahosting, que tanto en domicilios o centros de trabajo se usen aparatos tecnológicos que adolecen de una seguridad estricta, esto es, contraseñas inseguras, ausencia de actualizaciones, etc. “Aunque estos dispositivos no tienen la potencia computacional de un ordenador, sí acceden a todo el ancho de banda de nuestra conexión doméstica”, sostiene. “Por este motivo, en los últimos tiempo se han popularizado los ataques a dispositivos vulnerables como vía de entrada a infraestructuras de red mucho más complejas«.
Asegura que la regulación británica está en línea de otras impulsadas en materia de ciberseguridad desde la Unión Europea, como el Reglamento General de Protección de Datos o la Directiva NIS2, orientada a impulsar el nivel global de ciberseguridad en el espacio comunitario. En relación a la normativa británica, Barbeira apunta que “es muy posible que acabe con la era de los productos IoT de bajo coste a los que estamos acostumbrados, pero a cambio, debería abrirse una nueva corriente en la que la ciberseguridad se imponga con más fuerza«.