D-Link acordó mejorar la seguridad de sus sistemas como parte del acuerdo de la FTC
La demanda de la Comisión Federal de Comercio de EE. UU. (FTC) de 2017 contra D-Link finalmente llegó a su fin. Las autoridades estadounidenses acusaron al destacado fabricante taiwanés de hardware de redes de no proteger adecuadamente sus dispositivos e ignorar las advertencias de la vulnerabilidad más crítica del software informes.
Según la denuncia original publicada en 2017, D-Link falló en múltiples ocasiones:[1]
Los acusados no han tomado medidas razonables para proteger sus enrutadores e IPcámaras de riesgos ampliamente conocidos y razonablemente previsibles de acceso no autorizado, incluyendo al fallar en proteger contra fallas que el Open Web Application Security Project ha clasificadoentre las vulnerabilidades de aplicaciones web más críticas y extendidas desde al menos 2007.
Las acciones del fabricante de hardware pusieron en riesgo la privacidad y la seguridad en línea de millones de ciudadanos estadounidenses, ya que los usuarios de enrutadores y cámaras de todo el país eran vulnerables a los ataques cibernéticos.
El fabricante líder de IoT fue acusado de utilizar credenciales codificadas y fáciles de adivinar en el software de su cámara, alegando que el hardware es completamente seguro. de intrusiones no autorizadas y el almacenamiento de los detalles de inicio de sesión de la aplicación móvil en texto sin formato, además de no proteger los dispositivos de los vulnerabilidades.
Como resultado, D-Link acordó implementar nuevas medidas de seguridad, además de incluir los cambios necesarios en su fabricación, documentación, pruebas de seguridad y otros procesos.
El programa integral de seguridad de software tendrá una duración de 20 años.
Para remediar la situación, D-Link se vio obligado a aceptar muchas condiciones establecidas por la FTC, incluida la entrada al Programa de seguridad de software que está programado para durar al menos 20 años:[2]
SE ORDENA que el Demandado, durante un período de veinte (20) años después de la entrada de esta Orden, continuará con o establecerá e implementará y mantendrá, un software de seguridad integral programa ("Programa de seguridad de software") que está diseñado para brindar protección para la seguridad de sus Dispositivos cubiertos, a menos que el Demandado deje de comercializar, distribuir o vender cualquier Dispositivos.
Algunas de las nuevas responsabilidades del fabricante de IoT incluyen:
- Establecer empleados dedicados a mantener, evaluar y redactar los contenidos del programa a lo largo de los años;
- Planificar los procesos de seguridad y probar el software en busca de vulnerabilidades antes del lanzamiento de nuevos dispositivos;
- Realizar una evaluación de amenazas para identificar los riesgos internos y externos relacionados con el software dentro de los dispositivos fabricados por la empresa;
- Configuración de actualizaciones automáticas de firmware;
- Capacitación continua para empleados y proveedores responsables del desarrollo y revisión de software para el hardware producido, etc.
Además, D-Link también acordó someterse a auditorías exhaustivas cada dos años durante los próximos diez años para alcanzar la certificación de cumplimiento de seguridad. La documentación de estas auditorías también debe proporcionarse a la Comisión Federal de Comercio de los EE. UU. Durante los próximos cinco años.
D-Link aceptó los cambios y aceptó el acuerdo.
Está claro que D-Link no protegió sus dispositivos, junto con muchos usuarios, de los ataques cibernéticos y, durante los últimos dos años y medio, los ciberdelincuentes abusaron ampliamente de los errores cometidos por los fabricantes.
En junio del año pasado, los autores de la botnet Satori lograron aprovechar la falla de ejecución de código crítico en los dispositivos D-Link que usaban Verizon y otros usuarios de ISP.[3] En julio de 2018, los actores de amenazas lograron robar el certificado de seguridad proporcionado por D-Link, lo que les permitió enviar malware a miles de dispositivos.[4] Como resultado, los piratas informáticos podrían robar contraseñas y controlar el dispositivo de forma remota a través de la puerta trasera.
D-Link estuvo de acuerdo con el acuerdo, ya que John Vecchione, director ejecutivo y abogado principal de juicio de D-Link, expresó las siguientes opiniones:[5]
Este caso tendrá un impacto duradero y, esperamos, dé forma positiva a las políticas públicas en las áreas importantes de tecnología, seguridad de datos y privacidad. Es de esperar que la desestimación por parte del Tribunal del reclamo de 'injusticia' de la Demanda por no alegar daños reales al consumidor reenfocará los esfuerzos de la FTC en las prácticas que en realidad lesionan a consumidores identificables, proporcionando a las empresas de tecnología la certeza adicional necesaria para innovación.