Menu
Menu

Divulgación de Vulnerabilidades: ¿Qué representa para tu negocio?6 min read

Ciberamenaza, vulnerabilidad y riesgo

Divulgación de Vulnerabilidades

 

 

La Divulgación de Vulnerabilidades no Coordinada es un problema serio, pero debemos entender todos los puntos que conllevan a ella antes de combatirlo. Comencemos por el principio:

 

 

 

¿Qué es la Divulgación de Vulnerabilidades?

Es la práctica de informar fallas de seguridad en el software o hardware de una computadora o programa.  Tu equipo de TI u otras partes involucradas pueden revelar las vulnerabilidades directamente a los partes responsables de los sistemas defectuosos. Esto incluye desarrolladores internos y externos que trabajan con los sistemas vulnerables. Por lo general, los desarrolladores esperan hasta que se arregle dicha falla antes de hacer pública la vulnerabilidad. Sin embargo, si alguien no afín al proyecto encuentra esa falla, puede amenazar con revelar esta información sin tu consentimiento. Es entonces cuando hablamos de divulgación de vulnerabilidades no coordinada.

La divulgación de la vulnerabilidad y cómo se realiza puede ser un tema polémico. Muchos proveedores prefieren mantener la vulnerabilidad en secreto hasta que tengan un parche listo. Algunos  investigadores y profesionales de seguridad prefieren que las divulgaciones se hagan públicas antes. Cuando hablamos de revelar vulnerabilidades, esto varía según las partes interesadas y sus prioridades:

  • Desarrolladores o fabricantes de sistemas prefieren que las vulnerabilidades se divulguen solo a ellos mismos y después de arreglarse.
  • Usuarios de los productos o servicios  prefieren que los sistemas que usan se reparen lo más rápido posible. Sin embargo, puede que una vulnerabilidad no se puede reparar antes de que comiencen a explotarla. En estos casos se prefiere la divulgación para que haya otras formas de mitigar la amenaza.
  • Finalmente, están los investigadores de seguridad que descubren las vulnerabilidades. En general, prefieren reparar las vulnerabilidades rápidamente para publicar detalles de las vulnerabilidades que descubrieron. Esto último con el fin de reforzar la seguridad de los sistemas.

Tipos de divulgación de vulnerabilidades

Existen diferentes tipos de divulgación de vulnerabilidades. Cada una de ellas varía dependiendo del entorno empresarial.

AutorrevelaciónAutorrevelación

La Autorrevelación ocurre cuando, como fabricante de producto con vulnerabilidades, descubres las fallas y las haces públicas. Este proceso se hace generalmente en simultáneo con la publicación de parches u otras correcciones. Suele ser el proceso más común y valorado por los usuarios de tu mercado.

 

Divulgación de terceros

Ocurre cuando la divulgación de vulnerabilidades no la encuentran los propietarios o autores del hardware, software o sistemas. Generalmente son realizadas por investigadores de seguridad que informan a los fabricantes. Sin embargo, también puede involucrar universidades o servicios ajenos a la empresa. Este proceso es común en empresas muy grandes o servicios de gran extensión online.

Divulgación del proveedor

Se produce cuando los investigadores informan vulnerabilidades solo a los proveedores de aplicaciones, que luego trabajan para desarrollar parches. Es poco común que tras el descubrimiento termine por divulgarse al público y, de ocurrir, se utiliza la menor cantidad de información posible. Esto con la intención de reducir riesgos.

Divulgación completa

Este último tipo ocurre cuando una vulnerabilidad se libera públicamente, a menudo tan pronto como se conocen los detalles de la vulnerabilidad. Un lugar en el que esto ocurre comúnmente son los videojuegos. Fallas en el sistema o en los controles se propagan rápidamente por la web. En empresas más serias puede convertirse en una falla fuerte a la seguridad si no se corrigen a tiempo.

Divulgación de Vulnerabilidades no coordinada

Divulgación de Vulnerabilidades no coordinadaEs en este último grupo en el que entra la divulgación de vulnerabilidades no coordinada. Esto ocurre cuando esta persona ajena revela nuestra información sin darnos tiempo a reaccionar. Existen varias maneras de afrontar este problema, y aquí te nombraremos las más importantes.

Imagina esta situación. Un día, recibes un correo electrónico de un tercero desconocido, que reza lo siguiente:

Encontré esta falla en tu código. Arréglalo en cierto tiempo, o lo divulgaré al público.

Se trata de una amenaza que no se puede tomar a la ligera, pues pone en riesgo la credibilidad y sobre todo, la seguridad de tu negocio. ¿Qué hacer entonces? La mejor solución sería arreglar el problema y esperar que una situación así no se repita. Pero, ¿Y si no sabes cuál es el problema? ¿Y si la persona vuelve con otra falla, o afecta tu código antes de que puedas actuar? 

Primero, hay que asegurarse de que tu equipo está al tanto del error. Ellos querrán que se solucione lo antes posible porque otras partes del código podrían estar en peligro. Pongamos como ejemplo una vulnerabilidad de Cross-site Scripting (XSS). En una aplicación web, puede usarse para atacar a otras personas que usan tu dominio. Esto con la intención de generar una falsa confianza a través de la ingeniería social.

¿Qué hacer?

  1. Lo primero es delegar las responsabilidades. Selecciona un empleado técnico, preferiblemente de tu equipo de seguridad de TI. Hazlo responsable de la mayor comunicación sobre la divulgación de vulnerabilidades. Ponle en contacto con quien dio la alerta y asegúrate de que el representante seleccionado sea cortés.
  2. Asegúrate de que tus empleados sepan cómo escalar posibles problemas de seguridad y no ignores dichos informes. Lo mejor es asesorar a los empleados en roles públicos sobre cómo manejar los informes de seguridad. También deben saber a quién enviarlos sin eludir el proceso para consultas regulares.
  3. Mantén actualizado a tu equipo. Comunícate con ellos de inmediato para confirmar que recibieron el informe y lo están investigando. Dales estimaciones del tiempo en el que pretendes terminar la investigación.
  4. Usualmente, los hackers no maliciosos siguen prácticas de divulgación responsables. Ellos te brindan un marco de tiempo específico para corregir la vulnerabilidad antes de divulgar públicamente. Si no han especificado ese plazo, pregúntales sobre su preferencia y negocia el plazo de ser necesario.

ResponsabilidadesLa mejor manera de prevenir estos casos, consiste en usar un escáner de vulnerabilidades web automatizado. En el caso de Acunetix cuentan con AcuSensor. Este proporciona información adicional sobre dónde se encuentra el error en el código de bytes o el código fuente. También puede escanear vulnerabilidades tanto de la red como de la web.

 

Si deseas saber más sobre Acunetix, AcuSensor  y la divulgación de vulnerabilidades, no dudes en contactarnos. Te ayudaremos con toda la información que necesitas, ya que ofrecemos las mejores herramientas del mercado. Nuestro equipo está aquí para asesorarte y brindarte un entorno de TI más eficiente.

¿Te gustó esta información? Compártela con tus colegas:
Volver arriba