Los fabricantes de CPE (Customer Premises Equipment) ahora deberán cumplir con los requisitos de seguridad de la Agencia Nacional de Telecomunicaciones (Anatel). El objetivo es reducir las vulnerabilidades que permiten ataques a través de CPE.
Anatel publicó esta semana la Ley N° 2.436, con los requisitos mínimos de ciberseguridad para equipos como cable módem, módem xDSL y router FWA (acceso fijo inalámbrico). Las normas serán de obligado cumplimiento a partir del 10 de marzo de 2024.
Relacionado: Ciberseguridad debe ser una prioridad para la UIT, defiende Anatel de Brasil
El equipo debe cumplir con los siguientes criterios:
- disponer de mecanismos de defensa contra intentos exhaustivos de acceso no autorizado;
- proteger contraseñas, claves de acceso y credenciales con métodos de encriptación apropiados;
- permitir al usuario deshabilitar los servicios de comunicación no esenciales;
- las contraseñas de fábrica no pueden ser débiles y no pueden ser las mismas para todos los dispositivos producidos; entre otros.
Los proveedores de CPEs también deben cumplir con los requisitos, como tener una política de soporte de productos clara, garantizar actualizaciones de seguridad durante al menos dos años después del lanzamiento del producto y proporcionar un canal de comunicación para que los clientes informen sobre vulnerabilidades.
Actualmente, estas vulnerabilidades de CPE pueden ser la puerta de entrada para agentes maliciosos que utilizan el equipo para ataques de denegación de servicio (DDoS) o que exponen los datos personales de los usuarios.
Con las medidas de seguridad, la expectativa es aumentar la seguridad de los usuarios y las redes de telecomunicaciones.