- Estar al tanto y conocer las nuevas vulnerabilidades reportadas es un punto esencial para mantener seguros los sistemas.
Fluid Attacks, compañía de hacking ético especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas y Autoridad de Numeración de CVE (CNA), explica cómo se reportan y se dan a conocer las vulnerabilidades detectadas en los distintos programas informáticos alrededor del mundo para estar al tanto de los riesgos que pueden afectar el trabajo de las organizaciones y usuarios.
Las vulnerabilidades de seguridad cibernética divulgadas públicamente se encuentran identificadas, definidas y catalogadas en un programa conocido como CVE (por su nombre en inglés, Common Vulnerabilities and Exposures). Actualmente este programa cuenta con más de 176,400 registros accesibles a través de su página web y comunica por Twitter cuando son recién publicados.
“Diariamente se reportan nuevas vulnerabilidades encontradas en todo tipo de programas, las cuales podrían poner en riesgo el funcionamiento de los sistemas y la integridad y confidencialidad de los datos en las compañías. Los CNA estamos comprometidos con reportar de manera responsable las vulnerabilidades de día cero que encontramos a través del hacking ético, siempre con el objetivo de reducir el riesgo de los usuarios”, comenta Mauricio Gómez, cofundador de Fluid Attacks.
A continuación, Fluid Attacks da a conocer tres datos claves para comprender los avisos de vulnerabilidades y poder mantener seguros los sistemas:
- ¿Quiénes generan avisos de vulnerabilidad?
Todos los usuarios pueden reportar una vulnerabilidad en un software siguiendo el procedimiento que indique su creador, el cual deberá actuar lo más pronto posible para verificar el problema y, en caso de que sí esté presente, publicar avisos de seguridad, advertir a sus usuarios y solucionar la vulnerabilidad. Si quien descubre la vulnerabilidad es un equipo de ciberseguridad que es CNA, el creador debe tener presente las políticas de divulgación responsable de este equipo, porque este último determina luego de cuánto tiempo reportará la vulnerabilidad para conocimiento de usuarios y del resto de expertos a nivel mundial, ya sea en colaboración con el creador esperando que publique una solución, o sin esta. Son solo los CNA los que pueden asignar un número único de identificación y descripción de la vulnerabilidad reconocida por el CVE.
- ¿De qué tipo de programas se publican más comúnmente avisos de seguridad?
Los avisos de seguridad tratan más frecuentemente de software de código abierto (OSS, por sus siglas en inglés), que están disponibles al público en plataformas como GitHub o SourceForge y se construyen colectivamente dentro de la comunidad.
“Esto no significa necesariamente que el OSS sea menos seguro que el software privado, sino que, al mantener público su código fuente, es decir, los archivos que contienen las instrucciones necesarias para que un sistema funcione, es más fácil que alguien encuentre fallas. Esto puede ser una ventaja, porque así hay muchas más personas que pueden contribuir a hacer el software más seguro”, explica Gómez.
- ¿Qué protocolo se debe seguir para comunicar una vulnerabilidad en el software?
Cuando los cibercriminales se enteran de una vulnerabilidad, buscan aprovecharla para comprometer los datos e información de actividades de las empresas, así como los datos de los trabajadores, colaboradores y hasta clientes. Por esta razón existen protocolos que deben seguir los usuarios y los CNA para intentar manejar la situación de la mejor manera al momento de descubrir algún problema de seguridad.
La primera acción debe ser revisar atentamente las políticas de seguridad del creador del software, de modo que se pueda conocer cuál es la dirección de contacto y qué tipo de pruebas se requieren para verificar la existencia de la vulnerabilidad. Si esta resulta ser verdadera, el creador puede llegar a un acuerdo con quien la ha reportado para que no se divulgue la información inmediatamente, sino que se conceda un tiempo para hacer disponible una versión del software en que se haya remediado la vulnerabilidad. En estos casos, se hace un llamado a los usuarios por los medios designados, para que actualicen a la versión más segura. Pero en casos en que el creador no actúa de forma rápida, puede incumplir con los lineamientos de un CNA o agotar la paciencia del usuario que lo reportó, y la información de la vulnerabilidad es reportada sin una solución, con el fin de alertar a los usuarios a que protejan sus sistemas. Los CNA publican la información, junto con toda la evidencia, en sincronía con el registro del programa CVE.
“Dar a conocer el descubrimiento de nuevas vulnerabilidades informáticas es una ayuda para que todos los usuarios, dentro y fuera de las organizaciones, puedan empezar acciones para proteger sus sistemas. Es importante remediar las vulnerabilidades al momento de ser reportadas; además, las organizaciones deberían realizar pruebas de seguridad continuas en su tecnología desde las etapas iniciales del desarrollo, para poder evitar encontrar problemas cuando ya esta se encuentra en manos de los usuarios”, concluye el cofundador de Fluid Attacks.