Fluid Attacks, explica cómo se reportan y se dan a conocer las vulnerabilidades detectadas en los distintos programas informáticos alrededor del mundo para estar al tanto de los riesgos que pueden afectar el trabajo de las organizaciones y usuarios.
Las vulnerabilidades de seguridad cibernética divulgadas públicamente se encuentran identificadas, definidas y catalogadas en un programa conocido como CVE (por su nombre en inglés, Common Vulnerabilities and Exposures). Actualmente este programa cuenta con más de 176,400 registros accesibles a través de su página web y comunica por Twitter cuando son recién publicados.
Estos son los datos claves para comprender los avisos de vulnerabilidades y poder mantener seguros los sistemas:
¿Quiénes generan avisos de vulnerabilidad?
Todos los usuarios pueden reportar una vulnerabilidad en un software siguiendo el procedimiento que indique su creador, el cual deberá actuar lo más pronto posible para verificar el problema y, en caso de que sí esté presente, publicar avisos de seguridad, advertir a sus usuarios y solucionar la vulnerabilidad. Si quien descubre la vulnerabilidad es un equipo de ciberseguridad que es CNA, el creador debe tener presente las políticas de divulgación responsable de este equipo, porque este último determina luego de cuánto tiempo reportará la vulnerabilidad para conocimiento de usuarios y del resto de expertos a nivel mundial, ya sea en colaboración con el creador esperando que publique una solución, o sin esta. Son solo los CNA los que pueden asignar un número único de identificación y descripción de la vulnerabilidad reconocida por el CVE.
¿De qué tipo de programas se publican más comúnmente avisos de seguridad?
Los avisos de seguridad tratan más frecuentemente de software de código abierto (OSS, por sus siglas en inglés), que están disponibles al público en plataformas como GitHub o SourceForge y se construyen colectivamente dentro de la comunidad.
¿Qué protocolo se debe seguir para comunicar una vulnerabilidad en el software?
Cuando los cibercriminales se enteran de una vulnerabilidad, buscan aprovecharla para comprometer los datos e información de actividades de las empresas, así como los datos de los trabajadores, colaboradores y hasta clientes. Por esta razón existen protocolos que deben seguir los usuarios y los CNA para intentar manejar la situación de la mejor manera al momento de descubrir algún problema de seguridad.
La primera acción debe ser revisar atentamente las políticas de seguridad del creador del software, de modo que se pueda conocer cuál es la dirección de contacto y qué tipo de pruebas se requieren para verificar la existencia de la vulnerabilidad. Si esta resulta ser verdadera, el creador puede llegar a un acuerdo con quien la ha reportado para que no se divulgue la información inmediatamente, sino que se conceda un tiempo para hacer disponible una versión del software en que se haya remediado la vulnerabilidad. En estos casos, se hace un llamado a los usuarios por los medios designados, para que actualicen a la versión más segura. Pero en casos en que el creador no actúa de forma rápida, puede incumplir con los lineamientos de un CNA o agotar la paciencia del usuario que lo reportó, y la información de la vulnerabilidad es reportada sin una solución, con el fin de alertar a los usuarios a que protejan sus sistemas. Los CNA publican la información, junto con toda la evidencia, en sincronía con el registro del programa CVE.