Se acabó poner '1234': Reino Unido prohíbe las contraseñas débiles por defecto

Reino Unido propuso en 2021, dentro del Proyecto de ley de infraestructura de telecomunicaciones y seguridad de productos (PSTI), prohibir el uso de contraseñas universales por defecto en los dispositivos conectados, incluidos los del Internet de las Cosas (IoT).

Este lunes han entrado en vigor nuevas regulaciones diseñadas para cumplir con la protección del consumidor contra la piratería informática y los ataques cibernéticos, que exigen que los dispositivos inteligentes conectados cumplan con «los estándares mínimos de seguridad» establecidos por la ley.

Una de las normas prohíbe a los fabricantes implementar contraseñas predeterminadas débiles y fáciles de adivinar en los productos conectados a internet, como ha explicado el Departamento de Ciencia, Innovación y Tecnología en un comunicado en la página del Gobierno.

Esto significa que no podrán utilizar contraseñas como '1234' o 'Admin' en los dispositivos con conexión a internet, como es el caso de 'smartphones', tabletas, televisores, altavoces, 'smartwatches', consolas de videojuegos o, incluso, neveras conectadas. Y en caso de que se esté utilizando una contraseña de uso común, la normativa señala que se instará al usuario para que la cambie al iniciar sesión.

Con ello, se pretende fomentar la protección de las personas, la sociedad y la economía de los posibles ciberdelincuentes, así como aumentar la confianza de los consumidores en la seguridad de los productos que compran y utilizan.

La nueva Ley, que ha entrado en efecto este lunes, busca aumentar la ciberresiliencia en el país, donde el 99% de los adultos posee al menos un dispositivo inteligente y en los hogares hay de media nueve dispositivos conectados.

Los dispositivos inteligentes que forman parte de un hogar pueden estar expuestos a más de 12.000 ataques de piratería procedentes de todo el mundo en una sola semana. En total, 2.684 dirigidos a intentar adivinar las contraseñas débiles, según un estudio de Which? citado por el Gobierno.

Esta ley forma parte del régimen de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI), diseñado para mejorar la resiliencia del país ante los ataques cibernéticos y garantizar que las «interferencias malignas» no afecten a la economía global.

Adicionalmente, introduce otras protecciones de seguridad, como la obligación de que los fabricantes publiquen los datos de contacto para que los usuarios y empresas se puedan informar para solucionar errores y problemas.

Los fabricantes y minoristas también tendrán que ser sinceros con los consumidores sobre el tiempo mínimo que puede transcurrir para recibir actualizaciones de seguridad importantes en los dispositivos inteligentes conectados.

Además de todo ello, los consumidores y los expertos en seguridad cibernética también pueden informar sobre cualquier producto que no cumpla los estándares marcados en la normativa a la Oficina de Estándares y Seguridad de Productos (OPSS).