Pistas cotidianas | Ciberseguridad | Protección de datos
Divulgación responsable: este es el principio que siguen los hackers éticos cuando descubren una vulnerabilidad de seguridad en una empresa. En esta entrada de blog explicamos qué es la Divulgación Responsable. También explicamos por qué las empresas deberían recopilar y utilizar esta información de forma específica, y damos consejos iniciales sobre cómo hacerlo.
Traducido, Divulgación Responsable significa «divulgación responsable». Se trata del anuncio de vulnerabilidades de seguridad recién descubiertas. Afortunadamente, existen hackers éticos independientes que revisan sitios web, programas, aplicaciones y similares en busca de vulnerabilidades de seguridad. No para explotarlos criminalmente. Pero para ayudar a cerrar estas lagunas.
Normalmente, los hackers éticos informan de la vulnerabilidad a la empresa cuyo programa, sitio web o aplicación se ve afectado. Le dan a la empresa un tiempo razonable para cerrar la brecha. Solo entonces informan al público sobre ello. El objetivo de este enfoque es evitar que los ciberdelincuentes exploten las brechas de seguridad.
Bueno saberlo: alternativamente, la Divulgación Responsable también se conoce como Divulgación Coordinada, porque las empresas y los hackers éticos coordinan sus acciones.
En primer lugar: los hackers éticos no son un grupo uniforme. Lo que tienen en común, sin embargo, es que poseen una enorme experiencia informática y practican cierta ética hacker. Quizá la suya individual. O, por ejemplo, la ética hacker del Chaos Computer Club. Uno de sus principios es: «Utiliza datos públicos, protege los datos privados». Muchas vulnerabilidades de seguridad ponen en peligro la protección de los datos privados. Por ello, los hackers éticos a menudo se sienten responsables de asegurar que se cierren esas brechas de seguridad.
Sin embargo, también hay empresas que permanecen inactivas de forma permanente. En estos casos, los hackers éticos pueden optar por la divulgación total, es decir, una divulgación completa. Luego hacen pública la vulnerabilidad, aunque aún no se haya cerrado. Esta decisión es un arma de doble filo. Por un lado, los ciberdelincuentes también conocen la brecha de seguridad que aún no se ha cerrado. Por otro lado, el anuncio suele suponer una enorme presión sobre la empresa en cuestión para cerrar esta brecha lo antes posible.
Importante: Los ciberdelincuentes buscan específicamente vulnerabilidades de seguridad para explotarlas con fines propios. Por lo tanto, los hackers éticos a menudo tienen que sopesar la probabilidad de que una vulnerabilidad que encuentran ya sea conocida por al menos algunos ciberdelincuentes.
Cada vez más empresas intentan facilitar que los hackers éticos divulguen de forma responsable. Por ejemplo, creando una dirección de correo electrónico especial para dichos avisos o proporcionando un formulario.
En algunos casos, también proporcionan a los hackers éticos información sobre qué tipos de vulnerabilidades de seguridad les resultan relevantes y cómo gestionan el informe. El trasfondo de estos esfuerzos es la comprensión de que las empresas aquí se benefician de la experiencia no solicitada de hackers éticos.
Al detectar vulnerabilidades de seguridad, los hackers éticos pueden técnicamente hacerse responsables de procesos judiciales. Por ejemplo, si descubren que los datos personales son visibles públicamente debido a una vulnerabilidad de seguridad, y en caso de que se descubra, inevitablemente ven algunos de esos datos.
Normalmente, las empresas no denuncian a los hackers éticos en estos casos. Sin embargo, un importante partido alemán lo hizo tras ser reportadas varias vulnerabilidades de seguridad en una de sus aplicaciones. Como resultado, la mayor asociación de hackers de Europa – el Chaos Computer Club – anunció que no reportaría más vulnerabilidades de seguridad a esta parte en el futuro.
Las brechas de seguridad pueden causar daños graves a tu empresa. Por lo tanto, facilita que los hackers éticos informen según el principio de divulgación responsable.
No siempre está del todo claro cómo es un enfoque responsable ante vulnerabilidades de seguridad recién descubiertas. Muchas empresas están satisfechas con las pistas exactas que reciben de hackers éticos y se esfuerzan por cerrar las brechas de seguridad que descubren.
Algunos ejemplos de cómo otras organizaciones gestionan la Divulgación Responsable:
Más información útil puede encontrarse en el documento BSI «Manejo de vulnerabilidades. Recomendaciones para fabricantes».
Normalmente, los hackers éticos denuncian vulnerabilidades de seguridad sin pedir dinero. Esto hace que sea aún más importante ser consciente del valor de esta información. Contratar hackers éticos para pruebas de seguridad dirigidas no es barato. Por ello, muchas grandes empresas ofrecen recompensas por vulnerabilidades de seguridad reportadas.
¿Entonces también deberías pagar una recompensa del Finder por vulnerabilidades de seguridad reportadas? Al final, tú decides. Encontrar y reportar de forma responsable y constructiva las vulnerabilidades de seguridad puede costar mucho tiempo y esfuerzo a los hackers éticos, y ahorrarte muchos problemas. Por ello, recomendamos expresar tu gratitud y agradecimiento según las posibilidades de tu empresa. Quizá en forma de bonificación o a través de sorteos o productos gratuitos especialmente populares. Preferiblemente de la manera en que te gustaría que un servicio correspondiente te recompensara.
Si tiene más preguntas sobre Responsible Disclosure o desea ayuda para habilitar o procesar dichos informes, por favor contáctenos.
