California prohibirá que los dispositivos conectados lleven contraseñas por defecto desde 2020

La mayoría de dispositivos conectados suelen incluir por defecto contraseñas de acceso muy débiles. No es raro encontrar que muchos de ellos utilizan las socorridas «admin» o «1234» para «proteger» el acceso a su configuración. No son pocos los usuarios que no las cambian, por pereza o por desconocimiento, lo que hace que no sólo estos dispositivos, sino que también las redes a la que están conectados, estén expuestos a sufrir ataques de terceros, que se aprovechan de la debilidad de estas contraseñas para atacar redes. A pesar de que se advierte a los usuarios de estos dispositivos de que hay que cambiar estas contraseñas, muchos no lo hacen, así que en California han decidido tomar medidas, y prohibir que los dispositivos se vendan con contraseñas «por defecto» a partir de 2020.

En efecto, en este estado de EEUU han aprobado una ley que, según Techcrunch, establece que a partir del 1 de enero de 2020, los aparatos de electrónica de consumo que se fabriquen en su territorio, desde routers hasta dispositivos de Internet de las Cosas, deben ponerse a la venta con una contraseña que sea única para cada aparato.

No es la única medida de seguridad para estos aparatos que se establece en esta ley, ya que hará obligatorio que cada dispositivo nuevo «cuente con una función de seguridad que haga que su usuario genere un nuevo método de identificación antes de contar con acceso a él por primera vez«. De esta forma, los usuarios tendrán que cambiar esta contraseña única integrada en el dispositivo por otra nueva tan pronto como lo encienda por primera vez.

De esta manera, los legisladores del estado esperan poder contribuir a la reducción de los efectos de las botnets, caracterizadas por tomar el control de cientos de miles de dispositivos conectados a las redes, y que generalmente se conectan a ellas sin que se cambie su contraseña por defecto, que además suele ser bastante débil. Tras esto, y en un momento dado, los que controlan estas redes de bots utilizan estos dispositivos, sin conocimiento de sus usuarios, para lanzar ataques de denegación distribuida de servicio (Distributed denial of service, DDoS) contra objetivos determinados.

Eso sí, hay que tener en cuenta que esta ley no obliga a que los fabricantes de dispositivos actualicen el software integrado en ellos cuando se descubren errores y fallos en su funcionamiento. Por lo tanto, esto queda a su criterio. Muchos de los principales fabricantes, como Apple o Amazon, sí actualizan su software, pero muchas otras marcas menores y menos conocidas no lo hacen. Por tanto, es posible que esta ley tenga que actualizarse en un momento dado. No obstante, por ahora es un buen comienzo.