Divulgación responsable: es el principio que siguen los hackers éticos cuando descubren una brecha de seguridad en una empresa. En esta entrada del blog explicamos qué es la divulgación responsable. También explicamos por qué las empresas deben recopilar y utilizar estos consejos de forma específica, y damos algunos consejos iniciales sobre cómo hacerlo.
¿Qué es la divulgación responsable?
Se trata de la divulgación de vulnerabilidades de seguridad recién descubiertas. Afortunadamente, existen hackers éticos independientes que comprueban los sitios web, los programas, las aplicaciones y otros elementos similares en busca de vulnerabilidades de seguridad. No para explotarlos criminalmente. Pero para ayudar a cerrar estas brechas.
Por lo general, los hackers éticos informan de la vulnerabilidad de seguridad a la empresa cuyo programa, sitio web o app está afectado. Dan a la empresa un plazo razonable para cerrar la brecha. Sólo entonces informan al público sobre ello. El objetivo de este enfoque es evitar que los ciberdelincuentes exploten las vulnerabilidades.
Es bueno saberlo: Por otra parte, la divulgación responsable también se denomina divulgación coordinada, porque las empresas y los hackers éticos coordinan sus acciones.
¿Quién o qué son los hackers éticos?
En primer lugar, los hackers éticos no son un grupo uniforme. Pero lo que sí tienen en común: Tienen enormes conocimientos informáticos y practican una cierta ética hacker. Tal vez el suyo propio. O, por ejemplo, la ética hacker del Chaos Computer Club. Uno de sus principios es: «Utilizar los datos públicos, proteger los datos privados». Muchos fallos de seguridad ponen en peligro la protección de los datos privados. Por lo tanto, los hackers éticos a menudo se sienten responsables de asegurarse de que esas brechas de seguridad se cierren.
¿Cuál es la diferencia entre la divulgación responsable y la divulgación completa?
Sin embargo, también hay empresas que permanecen permanentemente inactivas. En estos casos, los hackers éticos pueden optar por la divulgación total, es decir, una divulgación completa. Luego hacen pública la vulnerabilidad, aunque todavía no se haya cerrado. Esta decisión tiene un doble filo. Por un lado, los ciberdelincuentes también se enteran de la vulnerabilidad que aún no se ha cerrado. Por otro lado, el anuncio suele significar una presión masiva sobre la empresa en cuestión para que ahora cierre esta brecha lo antes posible.
Es importante saberlo: Los ciberdelincuentes buscan específicamente las brechas de seguridad para explotarlas para sus propios fines. Por lo tanto, los hackers éticos a menudo también tienen que sopesar la probabilidad de que una vulnerabilidad que han encontrado ya sea conocida por al menos algunos ciberdelincuentes.
Divulgación responsable desde una perspectiva empresarial
Cada vez son más las empresas que se esfuerzan por facilitar la divulgación responsable a los hackers éticos. Por ejemplo, estableciendo una dirección de correo electrónico específica para estos avisos o facilitando un formulario.
En algunos casos, también proporcionan a los hackers éticos información sobre qué tipos de violaciones de la seguridad son relevantes para ellos y cómo manejan el informe. El trasfondo de estos esfuerzos es la constatación de que las empresas se benefician aquí de la experiencia no solicitada de los hackers éticos.
Un punto delicado: la cuestión de los cargos penales.
Cuando se descubren vulnerabilidades de seguridad, los hackers éticos pueden ser técnicamente susceptibles de ser procesados. Por ejemplo, si descubren que los datos personales son públicamente visibles debido a una vulnerabilidad de seguridad, e inevitablemente ven algunos de estos datos tras este descubrimiento.
Normalmente, las empresas no denuncian a los hackers éticos en estos casos. Sin embargo, un importante partido alemán lo hizo después de que se le notificaran varias vulnerabilidades de seguridad en una de sus apps. Como resultado, la mayor asociación de hackers de Europa -el Chaos Computer Club- anunció que en el futuro no informaría de las vulnerabilidades de seguridad a esta parte.
Cómo facilitar una divulgación responsable para su empresa
Los fallos de seguridad pueden causar graves daños a su empresa. Por lo tanto, facilitar una divulgación responsable para los hackers éticos.
No siempre está claro cómo es la divulgación responsable de las vulnerabilidades de seguridad recién descubiertas. Muchas empresas se alegran de recibir información precisa de los hackers éticos y se esfuerzan por cerrar las vulnerabilidades descubiertas.
- Considere con los profesionales o departamentos pertinentes cómo quiere -y puede- manejar los informes de vulnerabilidad.
- Establezca una dirección de correo electrónico dedicada a los avisos de divulgación responsable, por ejemplo, security@ejemplo.es.
- Establezca un formulario de notificación que le permita proporcionar información detallada.
- Facilite los datos de contacto y, si es necesario, más información en su sitio web, por ejemplo, en www.ejemplo.es/security.
- Comunique allí, entre otras cosas, los plazos previstos para las respuestas a los informes y para cerrar las vulnerabilidades de seguridad notificadas.
Importante: Si sus preparativos se ven recompensados por un informe, reaccione con profesionalidad, transparencia y agradecimiento. Esto se debe a que usted se beneficia de una experiencia muy solicitada.
Algunos ejemplos de cómo otras organizaciones tratan la divulgación responsable:
- BSI
- Fuerzas armadas alemanas
- Un canal de televisión
- Una tienda de muebles
Puede encontrar más información útil en el documento de BSI «Handling vulnerabilities. Recomendaciones para los fabricantes».
Por último, pero no menos importante: el conocimiento es dinero, también en el caso de las vulnerabilidades de seguridad
Normalmente, los hackers éticos informan de las vulnerabilidades de seguridad sin pedir dinero. Por ello, es aún más importante ser consciente del valor de esta información. Contratar a hackers éticos para realizar pruebas de seguridad específicas no es barato. Por eso muchas grandes empresas ofrecen recompensas por las violaciones de seguridad que se denuncian.
Entonces, ¿también hay que pagar una cuota de búsqueda por las vulnerabilidades reportadas? En última instancia, es usted quien debe decidir. Encontrar e informar de forma responsable y constructiva sobre las vulnerabilidades puede costar a los hackers éticos mucho tiempo y esfuerzo, y ahorrarle muchos problemas. Por lo tanto, recomendamos expresar su agradecimiento y reconocimiento en función de las posibilidades de su empresa. Tal vez en forma de bonificación o a través de regalos especialmente populares o productos gratuitos. Lo mejor es hacerlo de una manera que a ti mismo te gustaría ver recompensada.
Si tiene más preguntas sobre el tema de la Divulgación Responsable o desea apoyo para habilitar o procesar dichos informes, simplemente póngase en contacto con nosotros.