Responsible Disclosure:
manejo responsable de las
vulnerabilidades de seguridad
En el curso de su trabajo, nuestros expertos en seguridad informática identifican repetidamente vulnerabilidades desconocidas (las denominadas «de día cero» o «0-day») o vulnerabilidades ya conocidas y configuraciones erróneas en productos de software, entornos de red y directamente en Internet. Nuestros expertos manejan estos conocimientos de forma muy responsable. Con la Divulgación Responsable, DGC se basa en un proceso establecido en el mundo de la ciberseguridad: se informa rápidamente a los fabricantes u operadores de la existencia de una vulnerabilidad y se les apoya con información específica sobre cómo cerrarla. A continuación se informa a los usuarios del producto o servicio afectado y al público en general.
Política de divulgación: nuestro enfoque en detalle
- Para aprovechar de forma sostenible las oportunidades que ofrece la transformación digital y minimizar los riesgos, el DGC detecta vulnerabilidades en productos de software, entornos de red o directamente en Internet, incluso sin una orden específica.
- Si hemos detectado una vulnerabilidad conocida o nueva, o incluso una configuración errónea, se informará por escrito al fabricante/proveedor sobre la vulnerabilidad descubierta y los detalles necesarios y, de este modo, se le ayudará activamente a subsanar esta deficiencia de forma gratuita.
- Una vez que el fabricante/proveedor haya proporcionado una solución, se haya cerrado la vulnerabilidad o, a más tardar, 28 días después de haber tenido conocimiento de la vulnerabilidad de forma confidencial, el DGC publicará información detallada en este punto en nuestro sitio web.
- Además, registramos la vulnerabilidad en el directorio CVE de vulnerabilidades generalmente conocidas. Además, informamos de ello al público en general en los medios de comunicación pertinentes. El plazo puede ampliarse si el fabricante/vendedor presenta una declaración por escrito a tal efecto y se acuerda un nuevo plazo para la publicación responsable de la vulnerabilidad.
Nuestro enfoque se basa en la Guía Coordinada para la Divulgación de Vulnerabilidades del Equipo Nacional de Respuesta a Emergencias Informáticas (CERT, por sus siglas en inglés). De este modo, hacemos justicia a nuestra preocupación por proporcionar a los usuarios potencialmente afectados información oportuna y coherente para su protección. Al mismo tiempo, existe un compromiso justo entre los intereses públicos y los de las empresas.
Artículos actuales sobre el tema
de Responsible Disclosure
(únicamente disponible en inglés)
Más ofertas de noticias
¿Qué es Responsible Disclosure?
Si se descubre y verifica una vulnerabilidad de seguridad en los productos de software, es importante actuar a efectos de la ciberseguridad general. Los analistas de seguridad utilizan como norma el llamado procedimiento de Responsible Disclosure: los detalles de una vulnerabilidad sólo se publican una vez transcurrido un periodo de tiempo determinado, dentro del cual el fabricante puede solucionar el problema por sí mismo. Por lo general, son dos meses. La comunicación con el fabricante está encriptada durante este tiempo. Lo ideal es que, una vez cerrada la vulnerabilidad, se publique un análisis detallado de la misma junto con recomendaciones sobre cómo solucionar el problema, por ejemplo, mediante actualizaciones.
¿Full Disclosure vs. Responsible Disclosure?
A diferencia de la Divulgación Responsable, las vulnerabilidades de seguridad desconocidas que podrían ser aprovechadas por los ciberdelincuentes se publican inmediatamente en la Divulgación Completa (Full Disclosure). Los que optan por este enfoque suelen suponer que la situación de amenaza se eliminará más rápidamente debido a la presión pública y a la amenaza de pérdida de imagen.
En ambos procedimientos, la atención se centra en la transparencia: las empresas, los usuarios y el público deben ser informados para que se puedan preparar para las violaciones de la seguridad, sólo que el momento de la publicación es diferente.