La tan esperada Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) de 2022 finalmente entró en vigor, imponiendo nuevas obligaciones legales a los fabricantes de dispositivos domésticos electrónicos e inteligentes para proteger a los consumidores y empresas en todo el Reino Unido de violaciones de la privacidad de datos y ataques cibernéticos mediante la implementación de medidas mínimas. estándares básicos de seguridad dentro de sus productos.
Considerada por Westminster como la primera del mundo, la génesis de la Ley PSTI se remonta a más de cinco años, con la introducción de un Código de Prácticas de Internet de las Cosas (IoT) en octubre de 2018, que fue desarrollado conjuntamente por el Centro Nacional de Seguridad Cibernética (NCSC) y lo que entonces era el Departamento de Digital, Cultura, Medios y Deporte (DCMS). El recorrido de la Ley PSTI por el Parlamento comenzó en noviembre de 2021 y recibió la aprobación real del rey Carlos III el 6 de diciembre de 2022.
La legislación prohíbe que los dispositivos acepten contraseñas inseguras predeterminadas o fáciles de adivinar, obliga a los fabricantes a publicar datos de contacto para que se puedan informar errores y problemas, y obliga tanto a los fabricantes como a los minoristas a ser abiertos con los consumidores en el tiempo mínimo que pueden esperar. recibir actualizaciones de seguridad y parches de software.
Si bien la mayoría de los dispositivos incluidos en el ámbito de aplicación se fabrican fuera del Reino Unido, la Ley PSTI también se aplica a cualquier organización que importe o venda productos al por menor en el Reino Unido, y su incumplimiento constituye un delito penal que acarrea una multa de hasta 10 millones de libras esterlinas o el 4% de la multa. ingresos globales, el que sea mayor.
Westminster dijo que la legislación marca un “paso significativo” hacia el aumento de la resiliencia de la sociedad ante el ciberdelito: se cree que el 99% de los adultos en el Reino Unido poseen al menos un dispositivo inteligente y, en conjunto, cada hogar del país posee nueve en promedio. Dijo que el nuevo régimen daría a los usuarios la confianza de que pueden comprar y utilizar productos inteligentes de forma segura, lo que a su vez ayudaría a hacer crecer la economía.
“A medida que la vida cotidiana se vuelve cada vez más dependiente de los dispositivos conectados, las amenazas generadas por Internet se multiplican y se vuelven aún mayores”, afirmó el ministro cibernético Jonathan Berry.
“A partir de hoy, los consumidores tendrán una mayor tranquilidad al saber que sus dispositivos inteligentes están protegidos contra los ciberdelincuentes, a medida que introduzcamos leyes pioneras en el mundo que garantizarán que su privacidad personal, sus datos y sus finanzas estén seguros.
“Estamos comprometidos a hacer del Reino Unido el lugar más seguro del mundo para estar en línea y estas nuevas regulaciones marcan un salto significativo hacia un mundo digital más seguro”, dijo.
La subdirectora de economía y sociedad del NCSC, Sarah Lyons, añadió: “Los dispositivos inteligentes se han convertido en una parte importante de nuestra vida diaria, mejorando nuestra conectividad en el hogar y en el trabajo; sin embargo, sabemos que esta dependencia también presenta una oportunidad para los ciberdelincuentes.
“Las empresas tienen un papel importante que desempeñar en la protección del público al garantizar que los productos inteligentes que fabrican, importan o distribuyen brinden protección continua contra ataques cibernéticos y esta ley histórica ayudará a los consumidores a tomar decisiones informadas sobre la seguridad de los productos que compran”, dijo Lyon.
“Animo a todas las empresas y consumidores a leer el folleto de punto de venta del NCSC, que explica cómo les afecta la nueva regulación PSTI y cómo se pueden utilizar los dispositivos inteligentes de forma segura”, añadió.
Bienvenida legislación
Entre los profesionales de la seguridad cibernética, la Ley PSTI ha sido ampliamente bienvenida, en particular aquellas partes que se refieren a la mala higiene de las contraseñas, que con frecuencia ha sido un factor que contribuye a los ciberataques como los orquestados a través de la infame botnet Mirai a finales de 2016.
En el ataque Mirai, cientos de miles de dispositivos inteligentes fueron cooptados en una botnet que se utilizó para llevar a cabo ataques distribuidos de denegación de servicio (DDoS), y fue uno de los primeros incidentes de seguridad importantes que puso de relieve cuán vulnerables son los dispositivos inteligentes no seguros a ser secuestrados por cibernéticos. atacantes.
El jefe de mercados del Reino Unido del Grupo NCC, Matt Thomas, estuvo entre los que aprobaron la legislación.
“La industria de la seguridad cibernética lleva mucho tiempo pidiendo mayores protecciones legales para los dispositivos conectados, y la ley actual marca un punto de inflexión clave en nuestra búsqueda de asegurar nuestro futuro conectado”, dijo Thomas.
“Como todos los adultos del Reino Unido, excepto unos pocos, poseen al menos un dispositivo inteligente, los efectos de esta ley serán de gran alcance y demostrarán que el gobierno se toma en serio el impulso de la resiliencia cibernética del Reino Unido. Nos complace ver que el Reino Unido tiene la intención de liderar este tema también en el escenario global, aprobando la primera ley del mundo para proteger la privacidad, los datos y las finanzas del consumidor.
“Si bien la ley tiene una protección limitada contra el riesgo de ataques altamente complejos, como la cadena de suministro y el estado nación, ayudará a detener muchos de los ataques más generalizados y menos complejos. Definitivamente es un paso en la dirección correcta”.
Kevin Curran, profesor de seguridad cibernética de la Universidad de Ulster y miembro senior del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), dijo: “Es ampliamente aceptado que cuantos más dispositivos se conecten a Internet, mayor será el riesgo de ser pirateados. Significa que es más probable que tengas dispositivos descuidados que no estén actualizados y, por lo tanto, más vulnerables a los ataques. La escala de implementación de estos dispositivos en hogares y áreas públicas introduce nuevas vías de ataque. También existe preocupación por el “efecto dominó”, donde el compromiso de un dispositivo podría extenderse fácilmente a toda la red.
“El IoT nos expone a todos a cierto grado de riesgo. A pesar de su aparente simplicidad, estos dispositivos tienen un poder inesperado para causar perturbaciones cuando no se parchean o se administran mal. El uso generalizado de contraseñas predeterminadas de los fabricantes generalmente generaba problemas importantes, y los piratas informáticos explotaban cada vez más esta vulnerabilidad. Es alentador ver un énfasis cada vez mayor en la implementación de mejores prácticas para proteger los dispositivos de IoT antes de que salgan de fábrica.
“Además de contraseñas más seguras, es esencial establecer controles preventivos, de detección y correctivos integrales a través de una combinación de políticas, estándares, procedimientos, estructuras organizacionales, tecnologías de software y mecanismos de monitoreo. Estas medidas son cruciales para mitigar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de los activos de información dentro de una organización”.