{"id":18812,"date":"2020-05-20T12:24:48","date_gmt":"2020-05-20T18:24:48","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18812"},"modified":"2020-08-03T06:44:39","modified_gmt":"2020-08-03T12:44:39","slug":"vulnerability-disclosure-ethics","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/","title":{"rendered":"\u00c9tica en la divulgaci\u00f3n de vulnerabilidades"},"content":{"rendered":"<p>Los errores y las <strong>vulnerabilidades<\/strong> se vuelven casi inevitables cuando se desarrolla un sistema de TI, <strong><em><a href=\"https:\/\/latam.kaspersky.com\/blog\/username-enumeration-attack\/18335\/\" target=\"_blank\" rel=\"noopener\">software<\/a><\/em><\/strong> \u00a0o <strong><em>hardware<\/em><\/strong> sofisticados. A menudo, estos <strong>problemas de seguridad<\/strong> los encuentran no los empleados ni los t\u00e9cnicos expertos de la empresa que elabora el <strong><em>software<\/em><\/strong> o el <strong><em><a href=\"https:\/\/latam.kaspersky.com\/blog\/36c3-open-source-hardware-dangers\/16859\/\" target=\"_blank\" rel=\"noopener\">hardware<\/a><\/em><\/strong>, sino los investigadores externos. La eliminaci\u00f3n de estos errores y <strong>vulnerabilidades<\/strong> potenciales es crucial para lograr una <strong>ciberseguridad<\/strong> confiable, donde tambi\u00e9n trabajan nuestros investigadores y expertos. De esta manera, los humanos, que son la principal <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/memory-effects-awareness\/16863\/\" target=\"_blank\" rel=\"noopener\">fuente de errores y faltas<\/a><\/strong>, tambi\u00e9n son un factor clave para la <strong>detecci\u00f3n<\/strong> y <strong>correcci\u00f3n<\/strong> oportunas. Al mismo tiempo, es importante darse cuenta de que este proceso de <strong>correcci\u00f3n de errores<\/strong> tiene el potencial de crear nuevos riesgos y faltas en vez de solucionar el <strong>problema de<\/strong> <strong>ciberseguridad<\/strong>.<\/p>\n<p>En <strong>Kaspersky<\/strong>, nos ce\u00f1imos a <strong>principios \u00e9ticos<\/strong> claros y transparentes para la <strong>divulgaci\u00f3n responsable de vulnerabilidades<\/strong> (RVD por sus siglas en ingl\u00e9s); es decir, el proceso que seguimos cuando hallamos <strong>vulnerabilidades<\/strong> en los sistemas de otras organizaciones. Hemos basado nuestros <strong>cinco principios \u00e9ticos<\/strong> en nuestros m\u00e1s de 23 a\u00f1os de trabajo total y seguimos inspir\u00e1ndonos en algunas de las mejores pr\u00e1cticas y, en particular, del <strong><a href=\"https:\/\/www.first.org\/global\/sigs\/ethics\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">c\u00f3digo de \u00e9tica<\/a><\/strong> del <em>Forum of Incident Response and Security Teams<\/em> (foro de equipos de seguridad y respuesta a incidentes o <strong>FIRST<\/strong>, por sus siglas en ingl\u00e9s). En todos los casos, damos la mayor prioridad a la seguridad y la fiabilidad de nuestros usuarios (las personas y las organizaciones que usan los productos y las <strong>soluciones de ciberseguridad de Kaspersky<\/strong>).<\/p>\n<p>Al mismo tiempo, respetamos los intereses de todas las partes implicadas en el hallazgo de una <strong>vulnerabilidad<\/strong>: los individuos o las organizaciones cuyo producto es vulnerable, sus clientes (como posibles v\u00edctimas) y la <strong>industria de la ciberseguridad<\/strong> en su totalidad.<\/p>\n<p>Seguir estos principios \u00e9ticos para la divulgaci\u00f3n de vulnerabilidades garantiza que actuamos de manera <strong><a href=\"https:\/\/www.kaspersky.com\/transparency-center\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">transparente<\/a><\/strong>, responsable y coherente para construir un ecosistema m\u00e1s seguro de <strong>tecnolog\u00eda de la informaci\u00f3n y la comunicaci\u00f3n<\/strong> (<strong>TIC<\/strong>). Sin embargo, para que dicha estrategia funcione en toda la <strong>industria de TI<\/strong>, otros proveedores (y sus usuarios, investigadores independientes, instancias reguladoras y otras partes interesadas) deben emplear asimismo motivos similares en sus directrices. Por lo tanto, decidimos publicar nuestros <strong>principios \u00e9ticos<\/strong> <strong>de<\/strong> <strong>divulgaci\u00f3n responsable<\/strong> <strong>de<\/strong> <strong>vulnerabilidades<\/strong> encontradas en los <strong>programas de <em>software<\/em><\/strong> de otras empresas. Estamos a la vanguardia.<\/p>\n<h2>Principio #1: ganarse la confianza<\/h2>\n<p>Un cierto grado de desconfianza es el fundamento de la <strong>seguridad de la informaci\u00f3n<\/strong>. Pero las <strong>divulgaciones de vulnerabilidades<\/strong> sin la confianza simplemente no funcionan, as\u00ed que asumimos la benevolencia como un motivo para todas las partes, aunque naturalmente dedicamos tiempo y esfuerzo para coordinar acciones y reducir cualquier <strong>da\u00f1o de la vulnerabilidad (tanto correcci\u00f3n como <a href=\"https:\/\/latam.kaspersky.com\/blog\/memory-effects-awareness\/16863\/\" target=\"_blank\" rel=\"noopener\">aprendizaje en ciberseguridad<\/a>)<\/strong>. Se trata de confiar, pero tambi\u00e9n verificar. No divulgamos informaci\u00f3n acerca de las <strong>vulnerabilidades<\/strong> por diversi\u00f3n o ambici\u00f3n, sino que solamente en beneficio y seguridad de los usuarios y la sociedad.<\/p>\n<p>\u00a0<\/p>\n<h2>Principio #2: informar primero a la parte afectada<\/h2>\n<p>La <strong>divulgaci\u00f3n de vulnerabilidades<\/strong> es un proceso complejo que puede enfrentar muchos obst\u00e1culos, tales como participantes que no responden e incluso son inaccesibles. Pese a dichos inconvenientes, es crucial proporcionar informaci\u00f3n oportuna y precisa a los proveedores. Primero, coordinamos esfuerzos conjuntamente para <strong>eliminar la vulnerabilidad<\/strong> y minimizar el riesgo para el usuario. Para ello, a cambio, el proveedor necesita proporcionar un modo claro y transparente de informar y procesar la informaci\u00f3n acerca de las <strong>vulnerabilidades<\/strong> (puedes encontrar informaci\u00f3n adicional sobre la <strong><a href=\"https:\/\/support.kaspersky.com\/general\/vulnerability.aspx?el=12429#block0\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">pol\u00edtica de <em>bug bounty<\/em><\/a><\/strong> de <strong>Kaspersky<\/strong> y sobre c\u00f3mo <strong><a href=\"https:\/\/hackerone.com\/kaspersky\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">notificar una vulnerabilidad<\/a><\/strong> en <strong>Kaspersky<\/strong>.<\/p>\n<p>\u00a0<\/p>\n<h2>Principio #3: coordinar esfuerzos<\/h2>\n<p>A riesgo de decir algo obvio, cada <strong>vulnerabilidad<\/strong> es \u00fanica. Algunas amenazan a usuarios de un solo producto y otras pueden afectar a m\u00faltiples partes (<em>v.g.<\/em> aquellos casos en los cuales las empresas internacionales se ven involucradas con las cadenas de suministro complejas). Las vulnerabilidades tambi\u00e9n pueden afectar las <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/encrypted-city-administrations\/14849\/\" target=\"_blank\" rel=\"noopener\">redes del sector p\u00fablico<\/a><\/strong> y la <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/baltimore-encrypted\/14642\/\" target=\"_blank\" rel=\"noopener\">infraestructura cr\u00edtica<\/a><\/strong> cuando se ven aprovechadas por el <strong><em>ransomware<\/em><\/strong>, lo cual supone una <strong>amenaza<\/strong> para la seguridad nacional. Al mismo tiempo, los investigadores y los proveedores no son las \u00fanicas partes pertinentes; las instancias reguladoras, los clientes, los investigadores independientes y los <strong><em>hackers<\/em> <em>white hat<\/em><\/strong> (sombrero blanco) tambi\u00e9n pueden estar implicados. Para la coordinaci\u00f3n efectiva entre las partes interesadas, nos guiamos por las mejores pr\u00e1cticas internacionales (por ejemplo, la norma <strong><a href=\"https:\/\/blog.ansi.org\/2018\/11\/iso-iec-29147-2018-vulnerability-disclosure\/#gref\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">ISO\/IEC 29147:2018<\/a><\/strong> para la <strong>divulgaci\u00f3n de vulnerabilidades<\/strong>). En lo particular, intentamos dar a todos los participantes el tiempo suficiente para un an\u00e1lisis exhaustivo de <strong>vulnerabilidades<\/strong> y el desarrollo de correcciones.<\/p>\n<p>\u00a0<\/p>\n<h2>Principio #4: mantener la confidencialidad cuando sea pertinente<\/h2>\n<p>Si la <strong>informaci\u00f3n t\u00e9cnica<\/strong> sobre una vulnerabilidad se divulga antes de tiempo en el proceso, los <strong>cibercriminales<\/strong> <strong>pueden <\/strong><strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/carbanak-source-code-leaked\/14449\/\" target=\"_blank\" rel=\"noopener\">usar los <em>exploits<\/em><\/a><\/strong>. Por ello, compartimos la informaci\u00f3n sobre una vulnerabilidad de modo confidencial con las partes que necesitan desarrollar medidas de mitigaci\u00f3n y despu\u00e9s trabajamos a trav\u00e9s de los canales de comunicaci\u00f3n de mayor confianza y seguridad con el fin de informar. Por la misma raz\u00f3n, negociamos los t\u00e9rminos y condiciones de<strong> divulgaci\u00f3n<\/strong> <strong>de una vulnerabilidad<\/strong> con el proveedor. Sin embargo, si el proveedor no contesta, dependiendo de la <strong>severidad y la magnitud de la vulnerabilidad<\/strong> y la urgencia del riesgo, realizamos la divulgaci\u00f3n a trav\u00e9s de nuestros propios canales de comunicaci\u00f3n, seg\u00fan nuestras pol\u00edticas internas, leyes locales y mejores pr\u00e1cticas de la industria; todo esto al tiempo que mantenemos informado al proveedor.<\/p>\n<p>\u00a0<\/p>\n<h2>Principio #5: fomentar el comportamiento deseable<\/h2>\n<p>A pesar de los esfuerzos de la industria, los <strong>cibercriminales<\/strong> contin\u00faan buscando (y hallando) <strong>vulnerabilidades<\/strong>. Por lo tanto, consideramos importante apoyar abiertamente la <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/kaspersky-joins-disclose-io\/14934\/\" target=\"_blank\" rel=\"noopener\">notificaci\u00f3n de vulnerabilidades<\/a><\/strong> responsablemente y se ci\u00f1an a las mejores pr\u00e1cticas de la industria para la divulgaci\u00f3n responsable.<\/p>\n<p>\u00a0<\/p>\n<h2>Protecci\u00f3n de la divulgaci\u00f3n de vulnerabilidades<\/h2>\n<p>Estoy convencido de que, si todas las partes se adhieren a <strong>principios \u00e9ticos en la divulgaci\u00f3n de vulnerabilidades<\/strong> similares, podremos trabajar juntos para hacer el ecosistema de TIC no s\u00f3lo m\u00e1s seguro, sino tambi\u00e9n m\u00e1s sano y fiable para nuestros usuarios; es decir, la gente para la que trabajamos.<\/p>\n<p>Puedes aprender m\u00e1s acerca de los <strong><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2020\/05\/15091233\/RVD-Ethical-Principles-EN.pdf\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">principios \u00e9ticos para la RVD<\/a><\/strong> en la <strong><a href=\"https:\/\/www.kaspersky.com\/transparency-center\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">p\u00e1gina de la iniciativa de transparencia global<\/a><\/strong>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"b2b\">\n","protected":false},"excerpt":{"rendered":"<p>Para asegurarte de que una divulgaci\u00f3n de vulnerabilidades no cause mayores inconvenientes de los que resuelve, te recomendamos algunos sencillos principios<\/p>\n","protected":false},"author":2597,"featured_media":18832,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[4125,647],"class_list":{"0":"post-18812","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-rvd","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-disclosure-ethics\/21319\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/16785\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/22348\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-disclosure-ethics\/20510\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-disclosure-ethics\/28424\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-disclosure-ethics\/8338\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/35581\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/vulnerability-disclosure-ethics\/13472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/vulnerability-disclosure-ethics\/11463\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/vulnerability-disclosure-ethics\/28401\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/vulnerability-disclosure-ethics\/25429\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-disclosure-ethics\/22319\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-disclosure-ethics\/27607\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-disclosure-ethics\/27440\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2597"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=18812"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18812\/revisions"}],"predecessor-version":[{"id":18848,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18812\/revisions\/18848"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/18832"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=18812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=18812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=18812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}