Ni 12345 ni admin: Reino Unido prohíbe que los dispositivos tengan contraseñas débiles por defecto
Vamos a hacer una prueba. Escribe 192.168.1.1 en tu barra de búsqueda, así accederás a tu router. Seguramente te pida un usuario y una contraseña. Con casi total seguridad, y salvo que la hayas modificado, será “admin/admin”, “1234/1234”, “admin/1234” o “1234/admin”, no falla. Esto, a priori algo que podría quedar en una anécdota, es un potencial problema de ciberseguridad, así que Reino Unido, en un movimiento pionero en el mundo, ha prohibido que los dispositivos conectados tengan contraseñas débiles por defecto.
El caso Reino Unido. De acuerdo a una investigación desarrollada por Which? que citan desde el gobierno británico, los hogares con dispositivos inteligentes podría estar expuestos “más de 12.000 ataques de piratas informáticos de todo el mundo en una sola semana, con un total de 2.684 intentos de adivinar contraseñas débiles por defecto en sólo cinco dispositivos”. En el caso del Reino Unido hay una tele inteligente en el 57% de las casas, un asistente de voz en el 53% y al menos una pulsera o smartwatch en el 49%. Sin embargo, el dato más importante es que el 99% de los usuarios tienen, al menos, un dispositivo inteligente conectado y que la media es de nueve dispositivos por hogar.
“admin” es la contraseña más usada en España. Le siguen “123456”, “12345678” y “123456789”
admin/admin. Según ha explicado el gobierno británico en un comunicado, con esta nueva ley “los fabricantes estarán obligados por ley a proteger a los consumidores de piratas informáticos y ciberdelincuentes que accedan a dispositivos con conexión a internet o a la red”. Esto incluye smartphones, pero también videoconsolas y hasta frigoríficos conectados. Citando textualmente:
“Con el nuevo régimen, se prohibirá a los fabricantes que tengan contraseñas por defecto débiles y fáciles de adivinar, como “admin” o “12345”, y si hay una contraseña común se promoverá que el usuario la cambie al ponerla en marcha”.
Medidas adoptadas. Reino Unido no solo ha prohibido las contraseñas débiles como “12345” o “admin”, sino que también obligará a los fabricantes a publicar los datos de contacto para poder avisar y resolver posibles fallos, además de que tendrán que “ser francos con los consumidores en cuanto al tiempo mínimo que puede esperar para recibir actualizaciones de seguridad importantes“. Desgraciadamente, el comunicado no profundiza en qué es una “contraseña común o fácil de adivinar”.
Muchísimo sentido. A diferencia del móvil, que es un dispositivo que usamos constantemente y, por lo tanto, somos capaces de detectar de forma relativamente sencilla un comportamiento anómalo, en un frigorífico, una cámara de seguridad, una cerradura inteligente o una bombilla es bastante más difícil. Obligando a poner una contraseña más fuerte se reducen muchísimo los posibles vectores de ataque.
En el año 2016 el malware Mirai consiguió infectar miles y miles de dispositivos usando, precisamente, una librería de contraseñas predeterminadas
¿Tan importante es esto? Muchísimo. Por ejemplo, en el año 2016 conocimos el malware Mirai, un malware que infectaba dispositivos IoT que corrían ARC (una compilación de Linux) para crear una botnet y ejecutar ataques DDoS masivos. Tan masivos que consiguieron tumbar Twitter, Spotify, Amazon o Netflix. Este malware infectaba dispositivos como cámaras de seguridad y tardaba solo 98 segundos. Lo hacía, precisamente, probando usuarios y contraseñas predeterminadas conocidas. Hace algunos años, en 2021, una versión de Mirai consiguió infecta 20.000 dispositivos y hacer 17,2 millones de solicitudes HTTP por segundo, pero afortunadamente Cloudflare fue capaz de frenarlo.
Un paso adelante. Esta es una medida interesante de cara a proteger los dispositivos domésticos, pero todavía sigue habiendo trabajo por hacer. El sistema usuario/contraseña ha funcionado durante mucho tiempo, pero ya se está trabajando en su sucesor y menos mal. Passkeys tiene todas las papeletas para ser el futuro de las contraseñas, pero su implantación está siendo lenta. Mientras tanto, sigue cayendo en manos del usuario el crear una contraseña “fuerte” que, en muchas ocasiones, se asocia a un número mínimo de caracteres, al menos una mayúscula, una minúscula y un símbolo, pero no por ello “Manolo1234!” no es una contraseña segura.
Cómo mejorar la seguridad de las cuentas. Aunque cada maestrillo tiene su librillo, hay algunas buenas prácticas sencillas que podemos aplicar para mejorar la seguridad de nuestros accesos. La primera y más importante es no usar la misma contraseña para todo. La segunda es no usar contraseñas evidentes, como “qwerty”, “password”, “holahola”, tu nombre y el año de nacimiento o el de tu perro. Y la tercera es usar un gestor de contraseñas que almacene, recuerde y rellene las contraseñas por ti. De esa manera solo tendrás que recordar una contraseña: la del gestor.
Imagen | Unsplash