Divulgación responsable

Traducido, Divulgación Responsable significa «divulgación responsable». Se trata del anuncio de vulnerabilidades de seguridad recién descubiertas. Debe hacerse de forma responsable. Esto significa que los ciberdelincuentes pueden explotar las vulnerabilidades descubiertas lo menos posible.

¿Qué significa Divulgación Responsable en detalle?

Hay hackers éticos independientes que revisan sitios web, programas, aplicaciones y similares en busca de vulnerabilidades de seguridad. No para explotarlos criminalmente. Pero para ayudar a cerrar estas lagunas.
Normalmente, los hackers éticos informan de la vulnerabilidad a la empresa cuyo programa, sitio web o aplicación se ve afectado. Le dan un tiempo razonable para cerrar la distancia. Solo entonces informan al público sobre ello. El objetivo de este enfoque es evitar que los ciberdelincuentes exploten las brechas de seguridad.
Si una empresa retrasa o se niega a cerrar la vulnerabilidad, esto puede suponer un dilema para los hackers éticos. Esto se debe a que los ciberdelincuentes buscan específicamente vulnerabilidades de seguridad para explotarlas para sus propios fines. Por lo tanto, es probable que una vulnerabilidad descubierta por hackers éticos ya sea conocida por al menos algunos ciberdelincuentes.
Teniendo esto en cuenta, los hackers éticos pueden decidir hacer pública la vulnerabilidad aunque aún no se haya cerrado. Esto suele generar una fuerte presión sobre la empresa para que cierre el negocio rápidamente.

¿Dónde encuentro la Divulgación Responsable en la vida cotidiana?

La divulgación responsable afecta principalmente a las empresas. Si hackers éticos descubren una vulnerabilidad de seguridad en tu sitio web, por ejemplo, intenta llamar la atención de la persona o departamento adecuado de tu empresa.

¿Qué puedo hacer para mejorar mi seguridad?

Las brechas de seguridad pueden causar daños graves a tu empresa. Por lo tanto, facilita que los hackers éticos informen según el principio de divulgación responsable. Muchas empresas crean una subpágina en su web con este propósito, a menudo bajo la palabra clave «Responsible Disclosure».

• Considera con los especialistas o departamentos adecuados cómo quieres —y puedes— gestionar la notificación de vulnerabilidades de seguridad.
• Crea una dirección de correo electrónico dedicada para avisos de Divulgación Responsable, como security@beispiel.de
• Aún mejor que una dirección de correo electrónico: crea un formulario de reporte que te permita proporcionar información detallada.
• Haz que los datos de contacto y cualquier otra información estén disponibles en tu página web
• Comunica los plazos esperados para responder a informes y cerrar vulnerabilidades de seguridad reportadas, entre otras cosas.
• Si tus preparativos se ven recompensados con un informe, reaccionarás de forma profesional, transparente y agradecida.

Para más información, consulte el documento BSI «Gestión de vulnerabilidades: Recomendaciones para fabricantes«.