¿Quiere vender sus dispositivos de Internet de las cosas al gobierno de EE. UU.? Es posible que deba cumplir con nuevos estándares de seguridad, como asegurarse de que sus productos no sean susceptibles a vulnerabilidades conocidas, si un nuevo proyecto de ley se convierte en ley.
Los senadores Steve Daines (R-MT), Cory Gardner (R-CO), Mark Warner (D-VA) y Ron Wyden (D-OR) presentaron conjuntamente el proyecto de ley. Además de garantizar que no haya vulnerabilidades conocidas presentes en el momento de la compra, también requiere que los dispositivos se puedan parchear cuando haya parches de vulnerabilidad disponibles y prohÃbe las contraseñas codificadas.
Según la redacción del proyecto de ley, los requisitos se aplican a prácticamente cualquier cosa capaz de una conexión a Internet. Se dirige a dispositivos con “capacidades de procesamiento de computadora que pueden recopilar, enviar o recibir datos” y “un objeto fÃsico que es capaz de conectarse y está en conexión regular con Internet”.
En otras palabras, si un dispositivo se conecta a Internet o maneja datos, está cubierto por esta factura. Teniendo en cuenta el enfoque rápido y suelto que algunos fabricantes de dispositivos IoT han adoptado hacia la seguridad, y la gran debilidad de seguridad que presentan las contraseñas inmutables, no sorprende que aparezca este tipo de legislación.
El otoño pasado, se utilizaron miles de cámaras conectadas a la web en ataques coordinados para derribar sitios y servidores. Todos incluÃan chips con contraseñas grabadas para que no se pudieran cambiar. Los piratas informáticos se aprovecharon de eso y usaron las cámaras para atacar a los servidores con más paquetes de datos de los que podÃan manejar, todo sin que los usuarios de las cámaras tuvieran idea de que sus dispositivos estaban siendo secuestrados para los ataques.
IoT, DMCA y más
El proyecto de ley también ofrece protecciones de la Ley de Derechos de Autor del Milenio Digital y la Ley de Abuso y Fraude Informático para investigadores de seguridad cibernética. Eso es probablemente en respuesta a casos en los que se abusó de la CFAA para amenazar a los investigadores de seguridad.
El Proyecto de Ciberseguridad Berklett de la Universidad de Harvard, el Centro para la Democracia y la TecnologÃa y Mozilla están apoyando el proyecto de ley.
No hay ninguna garantÃa de que el proyecto de ley se convierta en ley, o que si lo hace, la versión final incluirá todos los requisitos de seguridad que se encuentran en esta versión. Aún asÃ, está claro que algunos de los equipos de IoT y hogar inteligente que usamos hoy en dÃa carecen de las medidas de seguridad adecuadas, por lo que este proyecto de ley podrÃa ser el primer paso para lograr que los fabricantes de dispositivos mejoren las protecciones.
[Thanks to Krebs On Security for the heads up]