La primera prohibición mundial en el Reino Unido de contraseñas predeterminadas fácilmente adivinables para dispositivos conectados es un paso bienvenido, pero solo el primer paso para proteger el panorama de Internet de las cosas (IoT) en rápida expansión.
Si bien prohibir contraseñas como “admin” y “12345” aumenta la base de seguridad, la legislación no va lo suficientemente lejos para hacer cumplir las actualizaciones de firmware y las capacidades de seguridad integradas. Por lo tanto, los administradores empresariales deben permanecer atentos a otras vulnerabilidades evidentes del hardware en la oficina inteligente.
Con los ataques a IoT cuadruplicándose en los últimos cinco años y la creciente amenaza de las botnets de IoT, los funcionarios no pueden esperar a que lleguen los reguladores. Así es como pueden endurecerse ciberseguridad y recuperar el control del ecosistema de hardware de su organización.
La guerra contra las contraseñas débiles
Este tipo de decisión ha tardado en llegar para las contraseñas predeterminadas, y eso se debe a que son muy peligrosas. Las combinaciones simples de contraseñas de usuario son fáciles de adivinar o piratear, lo que convierte los dispositivos en posibles puntos de entrada o activos en línea vulnerables.
Investigaciones recientes sugieren que los atacantes sólo necesitan cinco combinaciones de contraseñas comunes para acceder a aproximadamente el 10% de todos los dispositivos conectados a Internet. mirai malwareque secuestró más de 100.000 enrutadores domésticos para ataques masivos de denegación de servicio distribuido (DDoS), utilizó solo 62 combinaciones de nombre de usuario y contraseña.
Este es un problema creciente. Las botnets de IoT se han convertido en un área importante DDoS Generador de tráfico, donde los dispositivos comprometidos propagan malware, roban datos y permiten otros ciberataques. El número de dispositivos DDoS basados en bots ha aumentado de aproximadamente 200.000 dispositivos el año pasado a casi 1 millón de dispositivos en la actualidad, lo que representa más del 40% de este tráfico total.
La Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2022 (PSTI) del Reino Unido, implementada en abril, tiene como objetivo abordar este problema exigiendo que los dispositivos tengan una contraseña aleatoria o generen una contraseña única durante la inicialización. El incumplimiento es un delito penal con sanciones de hasta £10 millones o el 4% de los ingresos globales, lo que sea mayor.
Durante muchos años, los críticos han predicho que las fuerzas del mercado obligarán a los fabricantes de dispositivos a mejorar las prácticas de contraseñas. Pero, sin que aumenten, el gobierno está interviniendo y también ordenando a los fabricantes que creen formas de informar problemas de seguridad y detallar el cronograma de actualizaciones de seguridad para sus productos conectados.
Empresas, no esperen a los reguladores
Esto no significa que la acción sea perfecta. Por ejemplo, no existen reglas específicas que especifiquen el cronograma mínimo para informar las actualizaciones de seguridad mencionadas anteriormente. Peor aún, los estándares van por detrás de regiones y regulaciones similares. PSTI solo cumple 3 de las 13 directivas de seguridad de IoT del Instituto Europeo de Normas de Telecomunicaciones. Además, la regulación no alcanza la ley de ciberresiliencia más estricta de Europa. Este conjunto de reglas para dispositivos conectados, programado para 2027, va un paso más allá al exigir soporte de hardware y software durante todo el ciclo de vida del producto, así como automatizar las actualizaciones.
No se equivoque, PSTI es un paso positivo y abordar las contraseñas públicas es crucial. También está muy por encima de la solución de marca de verificación opcional para el consumidor introducida en los EE. UU. Pero para las organizaciones que operan hoy en día, los sistemas solo pueden brindar cierta protección, y lo que protegen y el alcance de su impacto dependerán de dónde se encuentre. La carga de lograr una protección de extremo a extremo recae en última instancia en los profesionales de TI para proteger sus ecosistemas de dispositivos conectados.
Esto significa adoptar las últimas herramientas y mejores prácticas ahora. No hay excusas: las credenciales únicas y la autenticación multifactor son lo mínimo indispensable. O considere deshacerse de las contraseñas por completo y optar por una infraestructura de clave pública (PKI). Este método utiliza cifrado asimétrico para establecer una configuración de confianza inicial entre el cliente y el dispositivo de destino, donde la clave generada reemplaza la contraseña y otorga autenticación. Esta no sólo es una forma más segura de autenticación de un solo factor, sino que también imposibilita los ataques de fuerza bruta.
Pero esto es solo el principio. El descubrimiento preciso de activos, la segmentación de la red y el monitoreo continuo son cruciales. Asimismo, se deben redoblar los esfuerzos para proteger las comunicaciones cifrando todos los datos en tránsito y garantizando la comunicación directa entre pares. Finalmente, no asuma y verifique siempre siguiendo los principios. Confianza cero.
El futuro de los dispositivos seguros depende de los administradores
El imperativo de seguridad es inmediato para los funcionarios. No espere a que la política cambie lentamente de rumbo: el futuro de su infraestructura conectada depende de que se tomen medidas decisivas hoy.
Esto comienza con lo básico como los controles de seguridad mencionados anteriormente. También requiere pensar críticamente sobre los orígenes del dispositivo. ¿De dónde viene un dispositivo en particular? ¿Quién es el fabricante y cuáles son sus prioridades de seguridad y su historial? Estas consideraciones no pueden descartarse en nuestro panorama de riesgos generalizados en la cadena de suministro.
Además, regístrese SO Y trabajo interno. ¿Es completo, de alta gama? Linux ¿Una distribución con una superficie de ataque compleja y posibles puertas traseras? ¿O un sistema operativo en tiempo real (RTOS) que ha sido deliberadamente simplificado para la tarea prevista? Los funcionarios deben evaluar si los beneficios de las capacidades avanzadas justifican los mayores riesgos. La simplicidad y las limitaciones de seguridad pueden ser el camino más inteligente para muchos casos de uso de IoT.
Es alentador ver a los reguladores ponerse al día con las crudas realidades de la ciberseguridad de los dispositivos modernos. Sin embargo, los mandatos de arriba hacia abajo pueden ir más allá de simplemente protegerlo a usted y a su empresa. En última instancia, asegurar su futuro conectado requiere decisiones inteligentes de hardware: examinar cuidadosamente los orígenes de los dispositivos, favorecer arquitecturas de diseño seguras y personalizar la configuración predeterminada. Hasta que los estándares estén completamente maduros, usted es la última línea de defensa.
Hemos enumerado los mejores administradores de contraseñas comerciales..
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro