California prohibirá uso de contraseñas débiles

Contraseñas como “administrador” o “contraseña” serán ilegales en 2020

El estado de California ha aprobado recientemente una ley que establece estándares de seguridad más altos para cualquier dispositivo conectado a la red que sea fabricado o vendido en su territorio.

Acorde a expertos en forense digital del Instituto Internacional de Seguridad Cibernética, esta nueva ley exige que a cada dispositivo se le asigne una contraseña única cuando sea fabricado.

Antes de esto, las contraseñas de fábrica eran fáciles de adivinar, por lo que habían ayudado a consumar algunos ciberataques de forma muy rápida, causando muchas pérdidas para usuarios particulares y organizaciones, reportan los especialistas en forense digital.

La ley de Privacidad de la Información, en su apartado de Dispositivos Conectados, exige que los fabricantes de productos electrónicos equipen sus productos con características de seguridad “razonables”. Esto puede significar una contraseña única o un procedimiento de inicio que obligue a los usuarios a generar su propio código cuando usan sus dispositivos por primera vez.

El proyecto de ley también permitirá a los clientes que sufren daños cuando una empresa ignora la ley para demandar por daños.

Kieren McCarthy, especialista en ciberseguridad y forense digital, considera que la ley es “un paso adelante” pero también una gran pérdida de oportunidades. “Un problema serio que las contraseñas deficientes no contemplan fue la creación de dispositivos que no pudieran actualizarse”, dijo.

Según considera la especialista, California debería haber agregado cláusulas que obligaran a los fabricantes de estos dispositivos a adoptar un enfoque más completo, dijo, para limitar la cantidad de acceso que los hackers maliciosos pueden obtener en teléfonos, laptops, tabletas, y otros dispositivos inteligentes de uso doméstico y empresarial.

Muchos ataques cibernéticos recientes han aprovechado las contraseñas predeterminadas y fáciles de adivinar en los dispositivos que se encuentran en millones de hogares y oficinas.

A fines de 2016, Twitter, Spotify y Reddit se encontraban entre los sitios desconectados por un ataque que aprovechaba contraseñas deficientes en muchos dispositivos conectados a la red, incluidas cámaras web y otros denominados hardware para el hogar.

Este tipo de deficiencias en el diseño de los dispositivos también deja abierta la puerta a las botnets, que, como ya se ha comprobado, pueden comprometer muchos sitios web a través de dispositivos conectados.