Por qué es importante la divulgación responsable de vulnerabilidades.

Redazione RHC : 27 julio 2025 09:50

A menudo hablamos de la divulgación responsable de vulnerabilidades, pero como ya hemos visto, esto no suele ocurrir con un enfoque bien regulado, aunque existen varias ideas y mejores prácticas internacionales, incluso dentro de ENISA.

Por lo tanto, es seguro y correcto divulgar vulnerabilidades de forma responsable, y es importante hacerlo.

Esto permite que toda la industria del software mejore, que mejore todos los productos públicos de detección de vulnerabilidades, así como que todos sean conscientes de que se necesita un parche para un producto específico que corrige un día cero peligroso.

Aun así Hoy en día, muchas empresas se resisten a activar programas de recompensas por errores o de divulgación responsable y siempre tienden a evitar lo que se denomina divulgación completa (tras la divulgación coordinada de vulnerabilidades), es decir, la publicación completa de las cargas útiles relacionadas con la vulnerabilidad específica.

Esto se suele hacer publicando parches sin informar al mundo de que se ha corregido un día cero peligroso, pensando que la publicación de CVE en la Base de Datos Nacional de Vulnerabilidades (NVD) de Estados Unidos dañará su marca y reputación web.

Sin embargo, este comportamiento es incorrecto porque no protege la transparencia hacia los consumidores, además de generar cierres y un aumento de vulnerabilidades no documentadas, olvidando que este es un derecho de todos los clientes que compran un determinado producto de hardware o software.

No existe software libre de vulnerabilidades, incluso con los procesos de desarrollo más seguros. Por lo tanto, la colaboración activa con los investigadores de errores, si se gestiona correctamente, puede mejorar drásticamente la seguridad del producto, beneficiando tanto a los investigadores como a las empresas.

Todas las grandes empresas deberían contar con una CNA (Autoridad de Numeración de CVE), lo que significa que deberían poder asignar CVE de forma independiente tras el descubrimiento de nuevas vulnerabilidades de seguridad divulgadas responsablemente por los investigadores de errores.

Este es un camino que no se puede implementar de la noche a la mañana, pero es importante considerarlo, especialmente para quienes desarrollan software y lo venden internacionalmente.

¿Recuerdas el comienzo de la emergencia del coronavirus y lo mucho que hablamos de los errores de Zoom? Inicialmente, la empresa creía que la seguridad no era un valor clave —se hablaba de cifrado de extremo a extremo falso y políticas de seguridad que no cumplían con las normativas—, pero posteriormente se lanzó un plan de 90 días para restaurar la ciberseguridad de la empresa, que incluyó un programa de recompensas por errores en Hackerone y la compra de la empresa de seguridad Keybase, especializada en cifrado de datos.

Imaginemos que hay empresas que llevan sus productos a eventos, donde el objetivo es buscar vulnerabilidades no clasificadas pagando a investigadores por esta labor, además de regalar los propios productos y emitir CVE.

Me refiero a Pwn2own, me refiero a Tesla, que regaló un Model 3 a investigadores que descubrieron los días cero, pero también a Microsoft, Apple, Google y muchos otros que entendieron que colaborar activamente con los investigadores recompensa tanto la transparencia como la protección de todos sus clientes.

Todo esto es cierto; es un camino que no se da de la noche a la mañana, pero solo las empresas que comprendan la importancia de la ayuda de la comunidad hacker para mejorar sus productos podrán tener éxito en el futuro cercano y desafiante.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli