El fabricante taiwanés de equipos de red D-Link acordó implementar un «programa integral de seguridad de software» para resolver una demanda de la Comisión Federal de Comercio (FTC) que alega que la empresa no tomó las medidas adecuadas para proteger a sus consumidores de los piratas informáticos.
Su enrutador inalámbrico es la primera línea de defensa contra posibles amenazas en Internet.
Sin embargo, lamentablemente, los enrutadores más utilizados no ofrecen las funciones de seguridad necesarias y, a menudo, son vulnerables a graves fallas de seguridad, lo que eventualmente permite que los atacantes remotos accedan a las redes sin autorización y comprometan la seguridad de otros dispositivos conectados a ellas.
En los últimos años, la seguridad de las redes inalámbricas ha sido un tema más candente debido a los ataques cibernéticos, y también ha ganado titulares después del descubrimiento de vulnerabilidades críticas, como la omisión de autenticación, la ejecución remota de código, las credenciales de inicio de sesión codificadas y divulgación de información: en enrutadores fabricados por varias marcas.
En 2017, la Comisión Federal de Comercio (FTC) de EE. UU. presentó una demanda contra D-Link, uno de los fabricantes de enrutadores más populares, por la falta de seguridad de sus enrutadores inalámbricos, cámaras IP y otros dispositivos conectados a Internet.
Según la denuncia de la FTC, D-Link supuestamente tergiversó la seguridad de sus productos a sus clientes, no probó adecuadamente sus productos en busca de fallas de seguridad conocidas y fáciles de corregir, y tampoco protegió los dispositivos cuando se informaron vulnerabilidades de seguridad. por investigadores de seguridad independientes.
«Los demandados D-Link repetidamente no tomaron pruebas de software razonables ni medidas correctivas para proteger sus enrutadores y cámaras IP contra fallas de seguridad de software bien conocidas y fácilmente prevenibles», dice la demanda de la FTC. «En verdad y de hecho, los Demandados no tomaron medidas razonables para proteger sus productos del acceso no autorizado».
En 2015, D-Link también publicó accidentalmente sus claves de firma de código privado en Internet que podrían haber permitido a los piratas informáticos firmar su malware y evadir la detección.
El martes, la FTC publicó [PDF] un acuerdo «amistoso» que dice que D-Link debe seguir una planificación de seguridad adecuada, modelado de amenazas, pruebas de vulnerabilidad y remediación antes de que sus enrutadores y cámaras IP lleguen al mercado.
El acuerdo también obliga a la empresa a monitorear sus productos en busca de fallas de seguridad, actualizar automáticamente el firmware y configurar un sistema para aceptar informes de vulnerabilidad de los investigadores de seguridad.
Además de esto, D-Link también acordó someterse a auditorías de seguridad de su programa de seguridad de software cada dos años durante los próximos 10 años por parte de una firma externa independiente, un evaluador aprobado por la FTC.
En un comunicado de prensa, D-Link afirma que la FTC no ha encontrado a la empresa responsable de ninguna supuesta violación, pero, irónicamente, la empresa ha llegado a una resolución amistosa con la FTC, como se mencionó anteriormente.
La FTC resolvió cargos similares con ASUS sobre la seguridad de sus enrutadores en 2016, cuando la empresa acordó someterse a auditorías de seguridad independientes cada 2 años durante los próximos 20 años.
