Ética en la divulgación de vulnerabilidades

Para asegurarte de que una divulgación de vulnerabilidades no cause mayores inconvenientes de los que resuelve, te recomendamos algunos sencillos principios

Los errores y las vulnerabilidades se vuelven casi inevitables cuando se desarrolla un sistema de TI, software  o hardware sofisticados. A menudo, estos problemas de seguridad los encuentran no los empleados ni los técnicos expertos de la empresa que elabora el software o el hardware, sino los investigadores externos. La eliminación de estos errores y vulnerabilidades potenciales es crucial para lograr una ciberseguridad confiable, donde también trabajan nuestros investigadores y expertos. De esta manera, los humanos, que son la principal fuente de errores y faltas, también son un factor clave para la detección y corrección oportunas. Al mismo tiempo, es importante darse cuenta de que este proceso de corrección de errores tiene el potencial de crear nuevos riesgos y faltas en vez de solucionar el problema de ciberseguridad.

En Kaspersky, nos ceñimos a principios éticos claros y transparentes para la divulgación responsable de vulnerabilidades (RVD por sus siglas en inglés); es decir, el proceso que seguimos cuando hallamos vulnerabilidades en los sistemas de otras organizaciones. Hemos basado nuestros cinco principios éticos en nuestros más de 23 años de trabajo total y seguimos inspirándonos en algunas de las mejores prácticas y, en particular, del código de ética del Forum of Incident Response and Security Teams (foro de equipos de seguridad y respuesta a incidentes o FIRST, por sus siglas en inglés). En todos los casos, damos la mayor prioridad a la seguridad y la fiabilidad de nuestros usuarios (las personas y las organizaciones que usan los productos y las soluciones de ciberseguridad de Kaspersky).

Al mismo tiempo, respetamos los intereses de todas las partes implicadas en el hallazgo de una vulnerabilidad: los individuos o las organizaciones cuyo producto es vulnerable, sus clientes (como posibles víctimas) y la industria de la ciberseguridad en su totalidad.

Seguir estos principios éticos para la divulgación de vulnerabilidades garantiza que actuamos de manera transparente, responsable y coherente para construir un ecosistema más seguro de tecnología de la información y la comunicación (TIC). Sin embargo, para que dicha estrategia funcione en toda la industria de TI, otros proveedores (y sus usuarios, investigadores independientes, instancias reguladoras y otras partes interesadas) deben emplear asimismo motivos similares en sus directrices. Por lo tanto, decidimos publicar nuestros principios éticos de divulgación responsable de vulnerabilidades encontradas en los programas de software de otras empresas. Estamos a la vanguardia.

Principio #1: ganarse la confianza

Un cierto grado de desconfianza es el fundamento de la seguridad de la información. Pero las divulgaciones de vulnerabilidades sin la confianza simplemente no funcionan, así que asumimos la benevolencia como un motivo para todas las partes, aunque naturalmente dedicamos tiempo y esfuerzo para coordinar acciones y reducir cualquier daño de la vulnerabilidad (tanto corrección como aprendizaje en ciberseguridad). Se trata de confiar, pero también verificar. No divulgamos información acerca de las vulnerabilidades por diversión o ambición, sino que solamente en beneficio y seguridad de los usuarios y la sociedad.

 

Principio #2: informar primero a la parte afectada

La divulgación de vulnerabilidades es un proceso complejo que puede enfrentar muchos obstáculos, tales como participantes que no responden e incluso son inaccesibles. Pese a dichos inconvenientes, es crucial proporcionar información oportuna y precisa a los proveedores. Primero, coordinamos esfuerzos conjuntamente para eliminar la vulnerabilidad y minimizar el riesgo para el usuario. Para ello, a cambio, el proveedor necesita proporcionar un modo claro y transparente de informar y procesar la información acerca de las vulnerabilidades (puedes encontrar información adicional sobre la política de bug bounty de Kaspersky y sobre cómo notificar una vulnerabilidad en Kaspersky.

 

Principio #3: coordinar esfuerzos

A riesgo de decir algo obvio, cada vulnerabilidad es única. Algunas amenazan a usuarios de un solo producto y otras pueden afectar a múltiples partes (v.g. aquellos casos en los cuales las empresas internacionales se ven involucradas con las cadenas de suministro complejas). Las vulnerabilidades también pueden afectar las redes del sector público y la infraestructura crítica cuando se ven aprovechadas por el ransomware, lo cual supone una amenaza para la seguridad nacional. Al mismo tiempo, los investigadores y los proveedores no son las únicas partes pertinentes; las instancias reguladoras, los clientes, los investigadores independientes y los hackers white hat (sombrero blanco) también pueden estar implicados. Para la coordinación efectiva entre las partes interesadas, nos guiamos por las mejores prácticas internacionales (por ejemplo, la norma ISO/IEC 29147:2018 para la divulgación de vulnerabilidades). En lo particular, intentamos dar a todos los participantes el tiempo suficiente para un análisis exhaustivo de vulnerabilidades y el desarrollo de correcciones.

 

Principio #4: mantener la confidencialidad cuando sea pertinente

Si la información técnica sobre una vulnerabilidad se divulga antes de tiempo en el proceso, los cibercriminales pueden usar los exploits. Por ello, compartimos la información sobre una vulnerabilidad de modo confidencial con las partes que necesitan desarrollar medidas de mitigación y después trabajamos a través de los canales de comunicación de mayor confianza y seguridad con el fin de informar. Por la misma razón, negociamos los términos y condiciones de divulgación de una vulnerabilidad con el proveedor. Sin embargo, si el proveedor no contesta, dependiendo de la severidad y la magnitud de la vulnerabilidad y la urgencia del riesgo, realizamos la divulgación a través de nuestros propios canales de comunicación, según nuestras políticas internas, leyes locales y mejores prácticas de la industria; todo esto al tiempo que mantenemos informado al proveedor.

 

Principio #5: fomentar el comportamiento deseable

A pesar de los esfuerzos de la industria, los cibercriminales continúan buscando (y hallando) vulnerabilidades. Por lo tanto, consideramos importante apoyar abiertamente la notificación de vulnerabilidades responsablemente y se ciñan a las mejores prácticas de la industria para la divulgación responsable.

 

Protección de la divulgación de vulnerabilidades

Estoy convencido de que, si todas las partes se adhieren a principios éticos en la divulgación de vulnerabilidades similares, podremos trabajar juntos para hacer el ecosistema de TIC no sólo más seguro, sino también más sano y fiable para nuestros usuarios; es decir, la gente para la que trabajamos.

Puedes aprender más acerca de los principios éticos para la RVD en la página de la iniciativa de transparencia global.

Consejos