Respon­sible Dis­closure:
manejo respon­sable de las
vulnera­bili­dades de segu­ridad

Como parte de su trabajo, nuestros expertos en seguridad informática, identifican constantemente vulnerabilidades desconocidas y manejan esta información de manera responsable. Con Responsible Disclosure (divulgación responsable), la DGC se basa en un proceso establecido en materia de ciberseguridad: otorgando apoyo a los productores para cerrar vulnerabilidades a tiempo, informando a los usuarios del producto afectado, así como al público en general, contrarrestando así, los ciberataques dirigidos a las empresas.

Política de divulgación: nuestro enfoque en detalle

Para aprovechar de forma sostenible las oportunidades de la transformación digital y minimizar los riesgos, la DGC identifica las vulnerabilidades de los productos de software y de los entornos de red, incluso sin una orden específica. Si identificamos una vulnerabilidad desconocida, la publicamos responsablemente en esta sección de nuestro sitio web y posiblemente la introduciremos en el directorio CVE de vulnerabilidades y exposiciones comúnes.

Nuestro enfoque se rige por la Guía de Divulgación Coordinada de Vulnerabilidades del Equipo Nacional de Respuesta a Emergencias Informáticas, o CERT por sus siglas en inglés:

El fabricante será informado por escrito sobre la vulnerabilidad descubierta. Una vez que éste último haya proporcionado una solución, ó 28 días después de que se haya informado de la vulnerabilidad de forma confidencial, la DGC publicará información detallada. El plazo puede extenderse si el fabricante proporciona una explicación por escrito para ello y se acuerda una nueva fecha para la publicación responsable de la vulnerabilidad.

De esta manera, respondemos a nuestra preocupación de proporcionar a los usuarios potencialmente afectados información oportuna y consistente para su protección. Al mismo tiempo, existe un compromiso justo entre los intereses públicos y los de las empresas.

Artículos actuales sobre el tema
de Responsible Disclosure

(únicamente disponible en inglés)

¿Qué es Responsible Disclosure?

Si se descubre y verifica una vulnerabilidad de seguridad en los productos de software, es importante actuar a efectos de la ciberseguridad general. Los analistas de seguridad utilizan como norma el llamado procedimiento de Responsible Disclosure: los detalles de una vulnerabilidad sólo se publican una vez transcurrido un periodo de tiempo determinado, dentro del cual el fabricante puede solucionar el problema por sí mismo. Por lo general, son dos meses. La comunicación con el fabricante está encriptada durante este tiempo. Lo ideal es que, una vez cerrada la vulnerabilidad, se publique un análisis detallado de la misma junto con recomendaciones sobre cómo solucionar el problema, por ejemplo, mediante actualizaciones.

¿Full Disclosure vs. Responsible Disclosure?

A diferencia de la Divulgación Responsable, las vulnerabilidades de seguridad desconocidas que podrían ser aprovechadas por los ciberdelincuentes se publican inmediatamente en la Divulgación Completa (Full Disclosure). Los que optan por este enfoque suelen suponer que la situación de amenaza se eliminará más rápidamente debido a la presión pública y a la amenaza de pérdida de imagen.

En ambos procedimientos, la atención se centra en la transparencia: las empresas, los usuarios y el público deben ser informados para que se puedan preparar para las violaciones de la seguridad, sólo que el momento de la publicación es diferente.

Síganos en