El Reino Unido se ha convertido en el primer país del mundo en prohibir que los fabricantes utilicen contraseñas predeterminadas fácilmente adivinables en dispositivos conectados. Esta actualización forma parte de la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI, por sus siglas en inglés) del Reino Unido.
La ley estipula que cada dispositivo con conectividad en línea debe venir con una contraseña aleatorizada o generar una durante su inicialización. Está prohibido el uso de contraseñas incrementales (como «password1», «password2») o que estén relacionadas de manera evidente con información pública, como direcciones MAC o SSIDs de Wi-Fi.
Para combatir los ataques de fuerza bruta, se ha impuesto un límite en el número de intentos de autenticación permitidos en un período determinado. Además, el cambio de contraseñas deberá realizarse mediante un mecanismo sencillo, facilitando así a los usuarios mantener la seguridad de sus dispositivos.
El acta también aborda la importancia de la actualización segura de los componentes del software, los cuales deben verificar la disponibilidad de actualizaciones y, o bien actualizar automáticamente, o permitir que los usuarios apliquen las actualizaciones de manera sencilla. Además, insta a los fabricantes a monitorear, identificar y rectificar continuamente las vulnerabilidades de seguridad en los productos y servicios que ofrecen.
Las implicaciones para los fabricantes que incumplan con estas normativas son significativas, enfrentándose a multas de hasta £10 millones (aproximadamente $12.5 millones) o el 4% de los ingresos mundiales calificados de la empresa, dependiendo de cuál sea mayor.
Estas reglas son una respuesta directa a incidentes como el ataque del botnet Mirai en 2016, que provocó extensas interrupciones en internet y afectó a servicios populares como Twitter, Netflix y Reddit. La iniciativa británica busca mitigar la recurrencia de tales ataques, estableciendo un estándar de seguridad más robusto en la era de la conectividad masiva.