¿Por qué compraste este antivirus y no ese otro? Porque este es más barato. Porque confías más en él, desde luego. ¿Pero por qué los investigadores de seguridad pasan más tiempo analizando esta aplicación y no esa otra? Porque confían más en la empresa que desarrolló la primera aplicación. No todas las empresas, sin embargo, reciben con gusto las noticias sobre vulnerabilidades encontradas en sus productos; algunas incluso amenazan a los investigadores con proceder legalmente contra ellos.
En efecto, elegir el producto de una empresa es una cuestión de confianza. Basta con un error para arruinar la confianza; por el contrario, infundir confianza es mucho más complicado. Es como una torre con miles de ladrillos: es suficiente con retirar un solo ladrillo para hacer que la torre colapse, pero construirla exige el acomodo cuidadoso de cada ladrillo, uno a uno miles de veces. Esto es difícil y toma mucho tiempo.
Un refugio para los investigadores
En Kaspersky, sabemos que ustedes, nuestros clientes efectivos y potenciales, confían en nosotros, de modo que estamos erigiendo una torre, ladrillo por ladrillo, y le estamos dando mantenimiento. Ya hemos lanzado nuestra Iniciativa de Transparencia Global, la cual esperamos compruebe la transparencia de nuestra empresa. Y hemos incrementado nuestros programas de bug bounties. Ahora nos complace anunciar que nos hemos unido al proyecto de Bugcrowd, Disclose.io, para garantizar que no hemos tomado acciones legales en contra de nadie que desee investigar nuestros productos en busca de vulnerabilidades.
En agosto de 2018, Bugcrowd lanzó el proyecto Disclose.io en colaboración con Amit Elazari, un renombrado investigador de seguridad, con el fin de proporcionar un esquema legal claro que protegiera a las organizaciones y a los investigadores involucrados en actividades de bug bounty y en programas de divulgación de vulnerabilidades. En esencia, lo que Disclose.io ofrece es una serie de acuerdos entre investigadores y empresas. Toda empresa que se una al proyecto Disclose.io, acepta respetar estos acuerdos y otro tanto hacen los investigadores. Estos acuerdos son muy simples, fáciles de leer y entender; así que olvídate de los cientos de apartados y cláusulas minúsculas por doquier, que pueden hacer que los acuerdos legales sean virtualmente imposibles de comprender. Puedes encontrar los términos principales en GitHub (en inglés), lo cual abona a su transparencia. Ahora bien, los documentos en GitHub no pueden modificarse sin que toda la comunidad se entere.
Estos acuerdos incentivan a las empresas no a castigar a los investigadores por realizar su labor, sino más bien a trabajar juntos para entender las vulnerabilidades y arreglarlas, además de reconocer que su contribución a la seguridad del producto. Por otra parte, estos acuerdos exigen que el investigador sea responsable con las vulnerabilidades que encuentre: que no divulgue esta información antes de que el problema se haya arreglado; que no haga uso indebido de la información a la que tiene acceso y que no extorsione a los proveedores, entre otros.
En síntesis, Disclose.ip básicamente dice: “Queridos investigadores y empresas, si se llevan bien, los dos ganan”. Estamos totalmente de acuerdo con esta afirmación; de ahí que apoyemos el movimiento de Disclose.io y proporcionemos un refugio para los investigadores que encuentren puntos débiles en nuestros productos.
Nuestros clientes, desde luego, ganan también. Mientras más investigue la comunidad de seguridad un producto o servicio, más seguros resultan. Si se trata de soluciones de seguridad, es imperativo ofrecer la máxima seguridad posible.