En las últimas dos décadas ha crecido exponencialmente el número de contraseñas a recordar
Reino Unido prohíbe las «contraseñas débiles» para desterrar el '12345'
El gobierno británico ha anunciado una nueva ley que obligará a los fabricantes a proteger a los consumidores de piratas informáticos
Reino Unido ha tenido que tomar medidas para proteger las contraseñas de sus compatriotas, aunque estos pasen de actualizar las que vienen por defecto.
Según una investigación realizada por Which?, citada por el gobierno británico, los hogares del Reino Unido podrían enfrentarse a más de 12.000 ataques de piratas informáticos de todo el mundo en una sola semana. Esto se traduce en un total de 2.684 intentos de adivinar contraseñas débiles por defecto en solo cinco dispositivos conectados a internet.
Nueve dispositivos por hogar
En el Reino Unido, el 57 % de los hogares posee una televisión inteligente, el 53 % cuenta con un asistente de voz, y en el 49 % hay al menos una pulsera o reloj inteligente. Sin embargo, el dato más relevante es que el 99 % de los usuarios tienen al menos un dispositivo inteligente conectado, con un promedio de nueve dispositivos por hogar.
El gobierno británico ha anunciado una nueva ley que obligará a los fabricantes a proteger a los consumidores de piratas informáticos y ciberdelincuentes que intenten acceder a dispositivos con conexión a internet o a la red. Esta legislación incluirá no solo smartphones, sino también videoconsolas y electrodomésticos conectados, como los frigoríficos. Según el comunicado oficial:
Con la nueva ley, se prohibirá a los fabricantes el uso de contraseñas por defecto débiles y fáciles de adivinar
«Con la nueva ley, se prohibirá a los fabricantes el uso de contraseñas por defecto débiles y fáciles de adivinar, como admin o 12345. En caso de que se utilice una contraseña común, se promoverá que el usuario la cambie al configurar el dispositivo».
Duplicar datos
Además de prohibir contraseñas débiles, el Reino Unido obligará a los fabricantes a publicar datos de contacto para que los usuarios puedan informar y resolver posibles fallos. También deberán informar claramente a los consumidores sobre el tiempo mínimo que pueden esperar para recibir actualizaciones de seguridad importantes. Sin embargo, el comunicado no define qué se considera una «contraseña común o fácil de adivinar».
Esta medida cobra especial relevancia debido a que, a diferencia de los smartphones, los dispositivos como frigoríficos, cámaras de seguridad, cerraduras inteligentes o bombillas no son utilizados constantemente, lo que dificulta detectar un comportamiento anómalo. Al exigir contraseñas más seguras, se reducen significativamente los posibles vectores de ataque.
Los dispositivos como frigoríficos, cámaras de seguridad, cerraduras inteligentes o bombillas no son utilizados constantemente
Un ejemplo de la importancia de estas medidas es el malware Mirai, que en 2016 infectó miles de dispositivos IoT para crear una botnet y llevar a cabo ataques DDoS masivos. Este malware logró tumbar servicios como Twitter, Spotify, Amazon y Netflix al aprovechar contraseñas predeterminadas conocidas. En 2021, una versión de Mirai logró infectar 20.000 dispositivos y realizar 17,2 millones de solicitudes HTTP por segundo, aunque fue detenido por Cloudflare.
Google Passkeys
Google estrenó a finales de 2023 un nuevo método de inicio de sesión para el que no es necesario el uso de contraseña para identificar al usuario. Las passkeys, llaves de acceso, utilizan el dispositivo de cada usuario mediante un pin, datos biométricos o huella digital como alternativa al password.
A través de las llaves de acceso, la autenticación de los usuarios se sincroniza en todos sus dispositivos mediante la nube con pares de claves criptográficas. De esta manera, el usuario puede iniciar sesión recurriendo a la misma biometría o PIN de bloqueo de pantalla para desbloquear sus dispositivos.
A través de las llaves de acceso, la autenticación de los usuarios se sincroniza en todos sus dispositivos mediante la nube con pares de claves criptográficas. De esta manera, el usuario puede iniciar sesión recurriendo a la misma biometría o PIN de bloqueo de pantalla para desbloquear sus dispositivos.
Comentarios
