¿Por qué compraste este antivirus y no ese otro? Porque es más barato. Porque confías más en él, claro está. ¿Pero por qué los investigadores de seguridad invierten más tiempo analizando esta aplicación y no esa otra? Porque confían más en la empresa que desarrolló la primera aplicación. No todas las empresas reciben bien la noticia de que se haya encontrado una vulnerabilidad en su producto; algunas incluso amenazan a los investigadores con acciones legales.
En efecto, elegir el producto de una empresa es una cuestión de confianza y basta con un error para destruirla, cuando, por el contrario, es mucho más complicado conseguirla. Es como una torre con miles de ladrillos: es suficiente con retirar un solo ladrillo para hacer que la torre colapse, pero para construirla hay que colocarlos cuidadosamente, uno a uno miles de veces. Esto es difícil y toma mucho tiempo.
Un refugio para los investigadores
En Kaspersky sabemos que vosotros, nuestros clientes o posibles clientes, confiáis en nosotros, de modo que estamos construyendo una torre, ladrillo a ladrillo, y manteniéndola. Ya hemos lanzado nuestra Iniciativa de Transparencia Global y esperamos que confirme la transparencia de nuestra empresa. Además, hemos incrementado nuestros programas bug bounty. Ahora nos complace anunciar que nos hemos unido al proyecto de Bugcrowd, Disclose.io, para garantizar que nosotros tampoco tomaremos acciones legales contra quienes deseen investigar nuestros productos en busca de vulnerabilidades.
En agosto del 2018, Bugcrowd lanzó el proyecto Disclose.io en colaboración con Amit Elazari, un famoso investigador de seguridad, con el fin de proporcionar un esquema legal claro que protegiera a las organizaciones y a los investigadores involucrados en actividades de bug bounty y en programas de divulgación de vulnerabilidades. En esencia, lo que Disclose.io ofrece es una serie de acuerdos entre investigadores y empresas. Toda empresa que se una al proyecto Disclose.io acepta respetar estos acuerdos, al igual que los investigadores. Se trata de un texto muy simple, de fácil lectura y compresión; así que olvídate de los cientos de apartados y cláusulas minúsculas por doquier que pueden hacer que ciertos acuerdos legales sean imposibles de procesar. Puedes encontrar los términos básicos en GitHub (en inglés), lo cual avala su transparencia. Ahora bien, los documentos en GitHub no pueden modificarse sin que toda la comunidad se entere.
Estos acuerdos incentivan a las empresas a no castigar a los investigadores por realizar su labor, sino más bien a trabajar juntos para entender las vulnerabilidades y poner una solución, además de reconocer su contribución a la seguridad del producto. Por otra parte, estos acuerdos exigen que el investigador actúe de forma responsable ante las vulnerabilidades que encuentre: que no divulgue esta información antes de que el problema se haya solucionado, que no haga uso indebido de la información a la que tiene acceso y que no extorsione a los proveedores, entre otras cosas.
En resumen, Disclose.io básicamente dice: “Queridos investigadores y empresas, si os portáis bien, ganáis ambos”. Estamos totalmente de acuerdo con esta afirmación; de ahí que apoyemos el movimiento de Disclose.io y ofrezcamos un puerto seguro a los investigadores que quieran encontrar puntos débiles en nuestros productos.
Nuestros clientes, desde luego, también ganan. Cuanto más investigue la comunidad de seguridad un producto o servicio, más seguros serán. Las soluciones de seguridad deben ofrecer la máxima seguridad posible.