El gobernador de California, Jerry Brown, ha firmado una ley de ciberseguridad que cubre dispositivos “inteligentes”, convirtiendo a California en el primer estado con esa ley. El proyecto de ley, SB-327, fue presentado el año pasado y pasado el senado estatal a fines de agosto.

A partir del 1 de enero de 2020, cualquier fabricante de un dispositivo que se conecte “directa o indirectamente” a Internet debe equiparlo con funciones de seguridad “razonables”, diseñadas para evitar el acceso no autorizado, la modificación o la divulgación de información. Si se puede acceder fuera de una red de área local con una contraseña, debe venir con una contraseña única para cada dispositivo u obligar a los usuarios a establecer su propia contraseña la primera vez que se conecten. Eso significa que no hay más credenciales genéricas predeterminadas para que un hacker adivine.

El proyecto ha sido elogiado como un buen primer paso por algunos y criticado por otros por su vaguedad. El experto en ciberseguridad Robert Graham ha sido uno de sus críticos más duros. Él argumentó que hace que los problemas de seguridad se vuelvan hacia atrás al enfocarse en agregar características “buenas” en lugar de eliminar las malas que abren los dispositivos hasta los ataques. Elogió el requisito de contraseña, pero dijo que no cubre toda la gama de sistemas de autenticación que “pueden o no llamarse contraseñas”, lo que aún podría permitir a los fabricantes abandonar el tipo de agujeros de seguridad que permitieron que la devastadora botnet Mirai se extendiera en 2016.

Un comentario sobre “EEUU: California, pionero con ley de ciberseguridad para IoT”

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *