DiarioTi.com - el diario del profesional TI

Lunes 29 Ago 2016 | Año 14 | Edición 4393
Menu
letter
  • redireccionamiento_800x200_01

  • IoT and Cloud Innovation Awards 2016 NetEvents



ASUS, sancionada con 20 años de supervisión obligatoria por apatía en seguridad de routers

Un hacker “white hat”, o ético, instaló un archivo de texto en los discos duros de miles de propietarios de routers de banda ancha de ASUS. La intervención ocurrió 7 meses después de que el fabricante taiwanés fuera notificado del problema.

Diario TI 24/02/16 10:55:49

El bienintencionado hacker instaló un documento titulado “Warning you are vulnerable.txt” (advertencia: usted es vulnerable) en los sistemas de los clientes de ASUS. El documento incluía una sencilla explicación, donde se señalaba que el router estaba abierto para todo tipo de abusos, junto con instrucciones sobre la forma de protegerse.

El problema no sólo afectó los discos duros de los usuarios, sino también dispositivos de almacenamiento externo conectados a los servicios AiCloud y AiDisk, de almacenamiento en la nube. En el mismo período, otra fuente publicó una lista de aproximadamente 13.000 direcciones IP afectadas.

En ese entonces, un usuario identificado como Kyle Lovett, posiblemente un seudónimo, escribió en la lista Full Disclosure, que ASUS habría mostrado desinterés por la información o por advertir a sus clientes.

Siete meses más tarde, y 9 días después de la lista de direcciones IP afectadas fuese publicada, ASUS distribuyó una versión parcheada de su firmware, que eliminó algunas de las vulnerabilidades.

Esta situación ha sido investigada desde 2014 por la Comisión Federal de Comercio, FTC, de Estados Unidos, que el 23 de febrero anunció haber llegado a un acuerdo extrajudicial con el fabricante taiwanés. “ASUS equipa sus routers con una serie de funciones de seguridad, que según la empresa protegen la red y el sistema contra acceso no autorizado, hackeo y virus. A pesar de estas seguridades, FTC concluye que la empresa no ha dado los pasos necesarios para asegurar el software de los dispositivos”, se indica en la resolución.

“Internet de las cosas está creciendo a pasos agigantados, con millones de consumidores conectando sus dispositivos inteligentes a sus redes domésticas” declaró Jessica Rich, directora de la oficina de protección al consumidor de FTC, agregando “los routers desempeñan un papel clave al asegurar las redes domésticas, por lo que es fundamental que empresas como ASUS instalen seguridad razonable con el fin de proteger a los consumidores y la información personal de estos”.

 

Veinte años de auditorías

Como parte del acuerdo extrajudicial, las autoridades anunciaron además una medida punitiva en contra de ASUS. FTC obliga a la empresa a someterse a un intenso programa de seguridad, con revisiones periódicas auditadas por una instancia externa, durante los próximos 20 años. Asimismo, anuncia multas de hasta USD 16.000 por cada incidencia que vulnere los puntos del acuerdo extrajudicial.

El acuerdo entrará en vigor al cabo de un proceso de 30 días de duración, con audiencias abiertas para todos los interesados.

 -

Imagen: Hombres de negocio castigados © Concept Photo vía Shutterstock

        • Seleccione su país -+

          Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.

        

        [gravityform id="19" title="false" description="true" ajax="true"]

        Oops! We could not locate your form.