La revelación responsable, del inglés «responsible disclosure», se refiere a la divulgación de vulnerabilidades de seguridad descubiertas. Es un acto que debe realizarse con responsabilidad para que los ciberdelincuentes puedan explotar lo menos posible las vulnerabilidades descubiertas.
¿Qué significa exactamente el término revelación responsable?
Existen hackers éticos independientes que comprueban los sitios web, los programas, las aplicaciones y otros elementos similares en busca de vulnerabilidades de seguridad. No para explotarlos con fines criminales, sino para que puedan cerrarse las posibles brechas de seguridad.
Por lo general, los hackers éticos informan de dichas brechas a la empresa propietaria del programa, sitio web o aplicación y le ofrece un tiempo razonable para cerrar la brecha antes de publicarla. El objetivo de este enfoque es evitar que los ciberdelincuentes aprovechen las vulnerabilidades.
Si una empresa se retrasa o se niega a cerrar la brecha de seguridad, puede suponer un dilema para los hackers éticos, ya que los ciberdelincuentes buscan específicamente esas brechas para aprovecharse de ellas. Por lo tanto, es muy probable que los ciberdelincuentes ya conozcan la vulnerabilidad que ha descubierto el hacker ético.
En este contexto, los hackers éticos pueden decidir hacer pública la vulnerabilidad aunque aún no se haya cerrado, para así ejercer una fuerte presión sobre la empresa para que la cierre de inmediato.
¿En el trabajo diario, dónde puedo encontrarme con la revelación responsable?
La revelación responsable afecta principalmente a las empresas. Por ejemplo, si los hackers éticos descubren una vulnerabilidad de seguridad en una web, tratarán de ponerla en conocimiento de la empresa a través de la persona o el departamento adecuado.
¿Qué puedo hacer para mejorar mi seguridad?
Los fallos de seguridad pueden causar daños graves a las empresas. Por lo tanto, facilita el trabajo de los hackers éticos de acuerdo con el principio de revelación responsable. Muchas empresas crean una subpágina en el sitio web con este fin, a menudo bajo el título «revelación responsable».
- Consulta con los profesionales o departamentos pertinentes cómo quieres (y puedes) gestionar los informes de vulnerabilidad.
- Establece una dirección de correo electrónico dedicada a los avisos de revelación responsable, por ejemplo security@example.com.
- Incluso mejor que una dirección de correo electrónico, puedes crear un formulario de notificación para que se pueda incluir información más detallada.
- Ofrece opciones de contacto y, si es necesario, proporciona más información en tu sitio web.
- Muestra ahí el plazo previsto para responder a los informes y para cerrar las vulnerabilidades notificadas.
- Si recibes un informe, reacciona con profesionalidad, transparencia y agradecimiento.
Para más información, consulta el documento de la Oficina Federal de Seguridad de la Información (BSI por sus siglas en alemán) «Handhabung von Schwachstellen Empfehlungen für Hersteller». (información en alemán)