Pequeños Negocios / Small Business: La FTC y ASUS

ASUS resuelve cargos presentados por la FTC por inseguridad de sus enrutadores de uso hogareño y de los servicios de “nube” pusieron en riesgo la privacidad de los consumidores

ASUSTeK Computer, Inc., el fabricante de equipos informáticos con sede central en Taiwan, ha aceptado resolver los cargos presentados por la Comisión Federal de Comercio (FTC, por su sigla en inglés) debido a los graves defectos de seguridad de sus enrutadores que pusieron en riesgo a cientos de miles de redes hogareñas de consumidores. En la demanda administrativa también se señala que los servicios inseguros de “nube” de los enrutadores comprometieron miles de dispositivos de almacenamiento de datos que los consumidores conectaron a estos enrutadores exponiendo su información personal delicada en internet.

La orden de acuerdo por consentimiento propuesta le exigirá a ASUS que establezca y mantenga un programa integral de seguridad sujeto a auditorías independientes durante los próximos 20 años.

Jessica Rich, Directora del Buró de Protección del Consumidor, dijo al respecto: “La interconectividad de las cosas está creciendo a pasos agigantado, millones de consumidores conectan sus aparatos inteligentes a las redes de sus hogares. Los enrutadores desempeñan un papel clave en la seguridad de estas redes hogareñas, por lo tanto, es fundamental que las compañías como ASUS implementen un nivel de seguridad razonable para proteger a los consumidores y su información personal.”

ASUS promocionó la venta de sus enrutadores declarando que tenían numerosas funciones de seguridad, que según la compañía, “protegerían a las computadoras contra cualquier acceso no autorizado, pirateo y ataques de virus” y que también “protegerían [la] red local contra los ataques de los piratas informáticos”. En la demanda de la FTC se alega que ASUS no adoptó las medidas lógicas y necesarias para proteger el software de sus enrutadores.

Por ejemplo, según se indica en la demanda, los piratas informáticos podían explotar los abundantes fallos de seguridad a través del panel de control del enrutador basado en la red para cambiar cualquiera de las configuraciones de seguridad sin conocimiento del consumidor. Un investigador de programas maliciosos descubrió en abril de 2015 la existencia de una campaña de explotación de estas vulnerabilidades para reconfigurar los enrutadores vulnerables y comandar el tráfico web de los consumidores. En la demanda también se destacan varios otros defectos de diseño que exacerbaron estas vulnerabilidades, entre los que se incluyen el establecimiento por parte de la compañía de las mismas credenciales de acceso predeterminadas en todos los enrutadores: nombre de usuario “admin” y contraseña “admin”, y el hecho de permitir que los consumidores conservaran estas mismas credenciales.

Según la demanda, los enrutadores de ASUS también ofrecían servicios llamados AiCloud y AiDisk que permitían a los consumidores conectar una unidad USB al enrutador para crear su propia “nube” de almacenamiento de archivos accesible desde cualquier otro aparato. La FTC alega en su demanda que, aunque ASUS anunció estos servicios como una “nube personal privada para el intercambio selectivo de archivos” y como una manera de “proteger y acceder sin riesgos a sus datos más preciados a través de su enrutador”, estos servicios tenían graves defectos de seguridad.

Por ejemplo, en la demanda se alega que los piratas informáticos podían explotar una vulnerabilidad del servicio AiCloud para sortear la pantalla de inicio de sesión y acceder directamente al dispositivo de almacenamiento de un consumidor conectado al enrutador sin ninguna credencial, simplemente accediendo a un URL específico desde un navegador de internet. De manera similar, en la demanda se alega que el servicio AiDisk no cifraba los archivos en tránsito, y que su configuración predeterminada de privacidad permitía – sin explicación alguna – el acceso al dispositivo de almacenamiento del consumidor a cualquiera que estuviera conectado a internet.

En febrero de 2014, unos piratas informáticos utilizaron herramientas de fácil disponibilidad para localizar enrutadores ASUS vulnerables y explotaron estos defectos de seguridad para acceder sin autorización a más de 12,900 dispositivos de almacenamiento de consumidores conectados a los enrutadores de ASUS.

La Comisión alega que en muchos casos, ASUS no resolvió los defectos de seguridad de manera oportuna o no notificó a los consumidores sobre los riesgos que planteaban los enrutadores vulnerables. Asimismo, en la demanda se alega que ASUS no notificó a los consumidores de la disponibilidad de actualizaciones de seguridad. Por ejemplo, según se indica en la demanda, la herramienta de actualización del software del enrutador – que les permitía a los consumidores verificar si había un software nuevo para el enrutador – a menudo les informaba a los consumidores que sus enrutadores tenían el software más actualizado, cuando en realidad, existía un software más nuevo con actualizaciones de seguridad críticas.

Además de establecer un programa integral de seguridad, la orden de acuerdo por consentimiento establece que ASUS deberá notificar a los consumidores la disponibilidad de actualizaciones de seguridad y otras medidas que puedan adoptar para protegerse de los defectos de seguridad de los enrutadores, entre lo que se incluirá una opción para que los consumidores se registren para recibir directamente avisos de seguridad (por ejemplo, por email, mensaje de texto o notificación automática). La orden de acuerdo por consentimiento también le prohibirá a la compañía engañar a los consumidores respecto de la seguridad de sus productos, incluyendo si un producto está utilizando el software más actualizado.

Este asunto forma parte de los continuos esfuerzos llevados a cabo por la FTC para garantizar que las compañías protejan la seguridad de los software y de los dispositivos que les proveen a los consumidores.

El resultado de la votación de la Comisión para expedir la demanda administrativa y para aceptar el acuerdo por consentimiento fue 4-0. En breve, la FTC publicará una descripción del conjunto de medidas del acuerdo por consentimiento en el Registro Federal. El acuerdo estará sujeto a comentarios públicos por un plazo de 30 días contado a partir de hoy y hasta el 24 de marzo de 2016, luego de cumplido dicho plazo, la Comisión decidirá si la orden por consentimiento propuesta se convertirá en una orden de carácter final. Las partes interesadas pueden presentar comentarios electrónicamente.

NOTA: La Comisión presenta una demanda administrativa cuando existe una “razón para creer” que la ley ha sido o está siendo violada, y cuando la Comisión considera que el procedimiento es de interés público. Cuando la Comisión expide una orden por consentimiento de carácter final, posee fuerza de ley con respecto a las futuras acciones. Cada infracción a una de estas órdenes puede ser sancionada con una multa administrativa de hasta $16,000 dólares.

La Comisión Federal de Comercio trabaja para promover la competencia y proteger y educar a los consumidores. Usted puede aprender más sobre los temas de interés de los consumidores y presentar una queja de consumidor en internet o llamando al 1-877-FTC-HELP (382-4357). Haga clic en la opción “me gusta” la FTC en Facebook, “síganos” en Twitter, lea los artículos de nuestro blog y suscríbase a los comunicados de prensa para acceder a las noticias y recursos más recientes.