Sobre por qué las contraseñas deberían ser difíciles, en Habrice, hablar una vez más no es necesario. Solo puede recordar las consecuencias de la débil protección de los dispositivos IoT que fueron convertidos por el virus
Mirai en "zombis", listos para obedecer los comandos de un cracker remoto.
Después de este y muchos otros incidentes, los fabricantes de dispositivos continúan descuidando la protección cibernética de los dispositivos. Sí, el diseño y la experiencia de usuario de muchos de ellos están en la cima, las funciones son buenas. Pero usar la mayoría de los dispositivos basados en la nube es como un juego de "crack me if you can", donde el cracker es casi siempre el ganador.
En el estado de California, EE. UU.,
Decidieron detener el juego y obligar a los fabricantes de dispositivos a encargarse de la selección de pares complejos de "contraseña de inicio de sesión" para proteger los dispositivos. Todos los sistemas vendidos en el estado deben modificarse en consecuencia para 2020. La ley establece una serie de requisitos que los desarrolladores de soluciones de red de hardware deben cumplir, ya sea un enrutador, una cámara de vigilancia o un refrigerador inteligente.
El proyecto de ley fue aprobado en agosto y la semana pasada fue firmado por el gobernador del estado, Jerry Brown.
"Los métodos débiles para proteger los dispositivos conectados a la red ponen en peligro a sus usuarios en California y también permiten que los crackers usen dispositivos electrónicos contra los propios propietarios", dijo un senador estatal que apoya la ley. "El documento confía en que la tecnología funciona en beneficio de la gente de California, y que la seguridad ya no se considerará el tema menos importante", continuó.
De hecho, a medida que el Internet de las cosas evoluciona gradualmente, cada vez más dispositivos se conectan a la red: no solo son cámaras, sensores de diversos tipos, sino también microondas, monitores para bebés, aires acondicionados y otros equipos. Inmediatamente después de conectar todos estos dispositivos, conviértase en un blanco para los crackers. Muy a menudo, los cibercriminales no están interesados en dispositivos solitarios, sino en redes que unen miles y miles de dichos dispositivos. Estamos hablando de botnets con las que los piratas informáticos pueden hacer mucho, desde ataques DDoS hasta intentos de piratear las redes de organizaciones bancarias y financieras.
Como se mencionó anteriormente, los dispositivos IoT a menudo carecen incluso de la protección más débil, que es lo que usan los crackers. Por lo tanto, incluso un scriptdiddy puede crear una pequeña botnet a partir de los dispositivos que ha descifrado. Los resultados de todo esto son visibles a simple vista. Hace dos años, millones de dispositivos estaban bajo el control de crackers; ahora, probablemente, hay aún más dispositivos de este tipo. Y cuanto más fabricantes produzcan sistemas IoT para el hogar y la oficina, mayor será el riesgo para los propietarios de dichos sistemas.
¿Por qué la ley está
dirigida específicamente a los fabricantes de equipos? El hecho es que no todos los compradores de dispositivos conectados tienen el nivel necesario de conocimiento técnico para proteger el dispositivo comprado de piratería por su cuenta. Sí, solo necesita cambiar el grupo banal de "admin / admin" por una contraseña de caracteres alfanuméricos complejos y, en la mayoría de los casos, las botnets no podrán subordinar dicho dispositivo. Pero un porcentaje relativamente pequeño de usuarios sabe cómo cambiar la contraseña, y aquellos que realmente la cambian son aún menos.
Recientemente, se realizó una encuesta, cuyo propósito era averiguar cuántos usuarios de dispositivos IoT intentaron protegerse del pirateo al reemplazar los datos de administración predeterminados. Al final resultó que, aproximadamente el 82% ni siquiera lo pensó. En cuanto a los datos predeterminados, las contraseñas distan de ser siempre simples, pero dado que el fabricante las publica en la documentación técnica suministrada con los dispositivos, no es difícil para los crackers encontrar los datos de acceso.
La nueva ley de California ahora obliga a los fabricantes de equipos a crear una combinación de nombre de usuario / contraseña única y confiable para cada dispositivo. Por supuesto, esto no es una panacea, pero sigue siendo un cambio definitivo en el tema del fortalecimiento de la política de ciberseguridad por parte de los fabricantes de dispositivos IoT. Quizás, a pesar de los cambios en la ley estatal, los fabricantes no esperarán a que otros estados y países los obliguen a hacer lo mismo, sino que cambiarán su política de ciberseguridad en la dirección del fortalecimiento por adelantado.