Con la entrada en vigor de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) del Reino Unido a finales de abril, los expertos en seguridad instan a las organizaciones a prepararse para la nueva legislación. Conocidas informalmente como Ley de Dispositivos Conectados, las nuevas reglas establecerán requisitos mínimos de seguridad cibernética para todos los productos o infraestructuras de telecomunicaciones conectados digitalmente en todo el país. La legislación se basa en el Código de Conducta voluntario para productos de IoT de consumo introducido en 2018. Estas pautas iniciales no logró generar impacto ni mejorar significativamente la seguridad de los productos conectados, dijeron los legisladores. Sin embargo, las nuevas reglas afectarán a una amplia gama de productos que van desde dispositivos IoT y televisores inteligentes hasta enrutadores Wi-Fi e incluso automóviles conectados. período de mayores amenazas a la seguridad para los usuarios de dispositivos conectados en todo el mundo. Una investigación reciente de Kaspersky encontró que los piratas informáticos llevan a cabo cada vez más ataques distribuidos de denegación de servicio (DDoS) contra servicios de red a través de botnets de IoT. En la primera mitad de 2023, los analistas detectaron más de 700 anuncios de servicios de ataques DDoS en varios foros de la web oscura, con el costo de estos servicios oscila entre £15 por día y £8,000 por mes. Durante el mismo período, los honeypots de Kaspersky registraron que casi el 98% de los intentos de fuerza bruta de contraseñas se centraron en Telnet, el popular protocolo de texto de IoT no cifrado.Reciba nuestras últimas noticias , actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2024. Aquí encontrará todo lo que necesita saber sobre la nueva Ley de Dispositivos Conectados. Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos: Requisitos clave La ley establece tres requisitos principales, relacionados a contraseñas, informes de vulnerabilidad y mantenimiento y divulgación de registros, con una penalización por ejemplos graves de incumplimiento fijada en £10 millones o el 4% de los ingresos mundiales de la empresa. Las contraseñas deben ser únicas para cada producto individual o capaces de siendo restablecido por el usuario. No deben basarse en contadores incrementales ni en información disponible públicamente. Tampoco pueden basarse ni derivarse de identificadores únicos de productos, como un número de serie, a menos que se haga mediante un método de cifrado o un algoritmo de hash con clave aceptado como parte de mejores prácticas de la industria. Mientras tanto, los fabricantes deben proporcionar información sobre cómo informar problemas de seguridad del producto, así como información sobre cuánto tiempo tardarán en acusar recibo del informe. También deben proporcionar actualizaciones de estado hasta que se resuelva la situación. Esta información debe estar disponible sin solicitud previa en inglés, de forma gratuita y debe ser accesible, clara y transparente. También se hace hincapié en las actualizaciones de seguridad, que deben publicarse y ponerse a disposición del consumidor de forma clara, accesible y y transparente.Ley de Dispositivos Conectados: ¿Qué piensan los expertos en seguridad?David Emm, investigador principal de seguridad de Kaspersky, dijo que la introducción de las nuevas reglas marca un paso positivo hacia la mejora de la seguridad de los dispositivos conectados. Las normas de presentación de informes de los fabricantes, señaló, son un aspecto bienvenido de la Ley, pero requerirán una aplicación estricta si se quiere que tengan un impacto positivo tangible en los consumidores y usuarios de dispositivos conectados. «Es positivo que la Ley requiera que los fabricantes digan cómo «Sin embargo, tal como están las cosas, esto podría estar oculto en sus sitios web, lo que fácilmente podría pasar desapercibido para los consumidores. Esto es algo que debería estar disponible en el punto de venta. «Instamos a los legisladores a considerar las implicaciones de esto a la luz de un complejo panorama de amenazas». Cade Wells, director de desarrollo empresarial de CENSIS, se hizo eco de los comentarios de Emm y agregó que la legislación «subraya el compromiso del gobierno del Reino Unido para fortalecer la seguridad de los consumidores». -dispositivos conectables”. “Al prohibir las contraseñas predeterminadas o fáciles de adivinar, exigir una declaración del período mínimo durante el cual se proporcionan actualizaciones de seguridad como parte de un producto y exigir políticas de divulgación de vulnerabilidades, la legislación tiene como objetivo proteger a los consumidores de posibles ataques cibernéticos”, dijo. Para algunos, la ley no va lo suficientemente lejos, y en realidad sólo se adoptaron tres de 13 recomendaciones. El grupo de consumidores Which?, por ejemplo, ha pedido que se extienda a los mercados en línea y ha sugerido que Las disposiciones sobre soporte de actualizaciones deberían exigir cuánto tiempo se deben soportar los diferentes tipos de productos como mínimo. Mientras tanto, el grupo de consumidores dijo que debería establecerse claramente que los propietarios de un dispositivo inteligente inseguro deberían poder argumentar que es defectuoso y luego obtener una reembolso o reemplazo, según sus derechos legales según la Ley de Derechos del Consumidor de 2015. Otras omisiones incluyen el requisito de proporcionar comunicaciones seguras a través de Internet. «Las recomendaciones claramente no han proporcionado incentivos suficientes para que los fabricantes protejan estos dispositivos y, por esa razón, , la ley es bienvenida», dijo Emm. «Sin embargo, es una pena que no todos los 13 [recommendations] han encontrado su camino en la legislación, y sólo tres han recibido fuerza legal».