Los errores y las vulnerabilidades se vuelven casi inevitables cuando se desarrolla un sistema informático, software o hardware sofisticado. A menudo, estos errores no los encuentran los empleados ni los técnicos expertos de la empresa que elaboran el software o el hardware, sino los investigadores externos. La eliminación de estos errores y vulnerabilidades potenciales es crucial para lograr una ciberseguridad de confianza, donde también trabajan nuestros investigadores y expertos. De esta forma, los humanos, que son la principal fuente de errores y fallos, también son un factor clave para una detección y corrección oportuna. A su vez, es importante darse cuenta de que este proceso de corrección de errores puede generar nuevos riesgos y faltas en vez de solucionar el problema.
En Kaspersky, nos ceñimos a principios éticos claros y transparentes para la divulgación responsable de vulnerabilidades (RVD por sus siglas en inglés); es decir, el proceso que seguimos cuando hallamos vulnerabilidades en los sistemas de otras organizaciones. Hemos basado nuestros cinco principios en nuestros más de 23 años de trabajo total y seguimos inspirándonos en algunas de las mejores prácticas y, en particular, del código de ética del Forum of Incident Response and Security Teams (foro de equipos de seguridad y respuesta a incidentes o FIRST, por sus siglas en inglés). En todos los casos, damos la mayor prioridad a la seguridad y la fiabilidad de nuestros usuarios (las personas y las organizaciones que usan los productos y las soluciones de Kaspersky).
A su vez, respetamos los intereses de todas las partes implicadas: los individuos o las organizaciones cuyo producto es vulnerable, sus clientes (como posibles víctimas) y la industria de la ciberseguridad en su totalidad.
Siguiendo estos principios, garantizamos una actuación transparente, responsable y coherente para construir un ecosistema de tecnología de la información y la comunicación (TIC) más seguro. Sin embargo, para que dicha estrategia funcione en toda la industria informática, otros proveedores (y sus usuarios, investigadores independientes, instancias reguladoras y otras partes interesadas) deben utilizar también motivos similares en sus directrices. Por lo tanto, decidimos publicar nuestros principios de divulgación responsable de vulnerabilidades encontrados en los programas de software de otras empresas. Estamos a la vanguardia.
Principio #1: Ganarse la confianza
Un cierto grado de desconfianza es la base de la seguridad de la información. Pero las divulgaciones de vulnerabilidades sin la confianza no funcionan, así que asumimos la benevolencia como un motivo para todas las partes, aunque naturalmente dedicamos tiempo y esfuerzo en coordinar acciones y reducir cualquier daño de la vulnerabilidad. Se trata de confiar, pero también verificar. No publicamos información acerca de las vulnerabilidades por diversión o ambición, sino que lo hacemos en beneficio y seguridad de los usuarios y la sociedad.
Principio #2: Informar primero a la parte afectada
La divulgación de vulnerabilidades es un proceso complejo que puede enfrentarse a muchos obstáculos, tales como participantes que no responden o que incluso son inaccesibles. Pese a dichos inconvenientes, es crucial proporcionar información oportuna y precisa a los proveedores. En primer lugar, coordinamos esfuerzos conjuntamente para eliminar la vulnerabilidad y minimizar el riesgo para el usuario. Para ello, a cambio, el proveedor necesita proporcionar un modo claro y transparente de informar y procesar la información acerca de las vulnerabilidades (puedes encontrar información adicional sobre cómo lidia Kaspersky con esto en este enlace y en este otro).
Principio #3: Coordinar esfuerzos
Aunque resulte obvio, cada vulnerabilidad es única. Algunas amenazan a usuarios de un solo producto y otras pueden afectar a múltiples partes (por ejemplo, aquellos casos en los cuales las empresas internacionales se ven involucradas con cadenas de suministro complejas). Las vulnerabilidades también pueden afectar las redes del sector público y la infraestructura crítica, lo que supone una amenaza para la seguridad nacional. Al mismo tiempo, los investigadores y los proveedores no son las únicas partes pertinentes; las instancias reguladoras, los clientes, los investigadores independientes y los hackers de sombrero blanco también pueden estar implicados. Para la coordinación efectiva de las partes interesadas, nos guiamos por las mejores prácticas internacionales (por ejemplo, la norma ISO/IEC 29147:2018 para la divulgación de vulnerabilidades). En particular, intentamos dar a todos los participantes el tiempo suficiente para poder realizar un análisis exhaustivo de vulnerabilidades y desarrollar un método de correcciones.
Principio #4: Mantener la confidencialidad cuando proceda
Si la información técnica sobre una vulnerabilidad se divulga antes de tiempo en el proceso, los atacantes pueden aprovecharse de ella. Por ello, compartimos la información de modo confidencial con las partes que necesitan desarrollar medidas de mitigación y después trabajamos a través de los canales de comunicación de mayor confianza y seguridad con el fin de informar. Por la misma razón, negociamos los términos y condiciones de divulgación con el proveedor. Sin embargo, si el proveedor no contesta, dependiendo de la gravedad y la magnitud de la vulnerabilidad y la urgencia del riesgo, realizamos la divulgación a través de nuestros propios canales de comunicación, según nuestras políticas internas, regulaciones locales y mejores prácticas de la industria; todo esto al tiempo que mantenemos informado al proveedor.
Principio #5: Fomentar la conducta deseada
A pesar de los esfuerzos de la industria, los ciberdelincuentes continúan buscando (y encontrando) vulnerabilidades. Por lo tanto, consideramos importante apoyar abiertamente a todos los que informen de las vulnerabilidades de forma responsable y se ciñan a las mejores prácticas de la industria para una divulgación responsable.
Protección de la divulgación de vulnerabilidades
Estoy convencido de que, si todas las partes se basen en unos principios éticos similares, podremos trabajar juntos para hacer el ecosistema de TIC no sólo más seguro, sino también más sano y fiable para nuestros usuarios; es decir, la gente para la que trabajamos.
Para más información sobre los principios éticos para la RVD, visita la página de la iniciativa de transparencia global.