El gobierno alemán emite recomendaciones sobre la seguridad de los enrutadores

Las medidas fueron criticadas por organizaciones de especialistas y desarrolladores de software

La semana pasada, en un intento por abordar la seguridad de los enrutadores de banda ancha, el gobierno alemán publicó algunas sugerencias sobre estándares mínimos, recibiendo críticas inmediatas sobre el alcance de sus propuestas.

Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, la BSI, oficina de seguridad informática en Alemania, mencionó que quería un “nivel de seguridad manejable” y definió las características de seguridad que creía que deberían estar “disponibles por diseño y por defecto” en los enrutadores.

El gobierno alemán busca proteger a los enrutadores de ataques vía Internet mediante la adopción de medidas como:

  • Restricción de los servicios predeterminados de LAN/Wi-Fi a DNS, HTTP/HTTPS, DHCP/DHCPv6 e ICMPv6, y un conjunto mínimo de servicios disponibles en la interfaz pública
  • Asegurar que los servicios de Wi-Fi de los huéspedes no tengan acceso a la configuración del dispositivo
  • Establecer el cifrado WPA2 como mínimo predeterminado, con una contraseña segura que excluya identificadores como el fabricante, el modelo o la dirección MAC
  • Protección de contraseña sólida en la interfaz de configuración, asegurada por HTTPS si está disponible en la interfaz WAN
  • Las características de firewall obligatorias
  • La configuración remota debe estar desactivada de forma predeterminada, y sólo se puede acceder a ella a través de una conexión cifrada y autenticada por el servidor
  • Actualizaciones de firmware controladas por el usuario, con opción para actualizaciones automáticas

Estas recomendaciones también indican que el restablecimiento de fábrica debe devolver al enrutador a un estado predeterminado seguro, y todos los datos personales deben eliminarse de la unidad durante este proceso.

Durante el fin de semana pasado, el equipo de expertos en forense digital de OpenWRT y el Chaos Computer Club (CCC) salieron a declarar que consideran estas recomendaciones ‘inadecuadas’.

Por su parte, El BSI dijo que estas recomendaciones son el resultado de “dos años de consultas con proveedores, operadores de redes y agencias de defensa del consumidor”. OpenWRT y CCC estiman que hubo demasiada consideración para la opinión de los vendedores y muy poca atención a las preocupaciones de los consumidores.

Acorde a OpenWRT, dos medidas de protección al usuario se han dejado fuera de la lista de recomendaciones del BSI. Los proveedores deberían informar a los usuarios cuánto tiempo planean lanzar respaldo para sus productos con actualizaciones de seguridad; además, los clientes deben tener el derecho de instalar software personalizado (como OpenWRT), “incluso después de que finalice el soporte oficial del proveedor”.

Por su parte, la CCC dijo que cree el esquema de seguridad actual ha fallado, pues las empresas proporcionan un estándar de seguridad mínimo, acorde a la conveniencia de los fabricantes. CCC mencionó que “no está claro” cómo estas nuevas políticas contrarrestarían amenazas informáticas como Heartbleed, Sambacry o la botnet BCMUPnP, recién descubierta a principios de este mes.

Hauke Mehrtens, experto en forense digital de OpenWRT declaró que imposibilitar al usuario para instalar firmware como OpenWRT “genera dudas sobre la seriedad con la que los gobiernos abordan la seguridad informática”.

Diversos miembros de la comunidad de la ciberseguridad consideran que CCC tiene razón al demandar que los fabricantes brinden información al usuario sobre la posible vida útil de un dispositivo, ya que es casi seguro que los proveedores tengan en cuenta esta información durante las fases de desarrollo de sus productos.

(Visitado 1156 veces)