Del descubrimiento a la divulgación: gestión de una vulnerabilidad de ciberseguridad

Ningún sistema es 100 % seguro

Una afirmación que se ha mantenido durante más de 40 años y que hoy es más relevante que nunca. Incluso con usuarios bien formados y un desarrollo centrado en la seguridad, siempre surgirán nuevas vulnerabilidades, a veces de formas inesperadas, lo que pone de relieve la importancia de la concienciación sobre la ciberseguridad.

La gestión de las vulnerabilidades no es solo responsabilidad de los fabricantes, sino un esfuerzo compartido en el que participan integradores de sistemas, hackers éticos e investigadores de seguridad. Cualquiera puede encontrar fallos de seguridad en cualquier sistema. La pregunta es: ¿Qué deben hacer a continuación? ¿Y cómo debe comportarse la empresa?

Identificar una vulnerabilidad

Una vulnerabilidad de ciberseguridad puede adoptar innumerables formas, como:

• Vulnerabilidades de software y firmware: El código obsoleto o inseguro introduce graves riesgos de seguridad (vulnerabilidades sin parchear, puertas traseras codificadas, mecanismos de actualización inadecuados)

• Seguridad de la red y debilidades de comunicación: el tráfico de red desprotegido puede ser interceptado y manipulado por atacantes (comunicación sin cifrar, intermediario, algoritmos de cifrado débiles)

• Vulnerabilidades de autenticación y control de acceso: los mecanismos de autenticación débiles pueden permitir el acceso no autorizado al sistema (contraseña predeterminada, vulnerabilidad de fuerza bruta, falta de autenticación multifactor)

• Vulnerabilidades de hardware y configuración: Los dispositivos mal configurados crean un punto de entrada fácil para los ciberdelincuentes (configuración predeterminada insegura, interfaz de administración expuesta)

• Factor humano: Manipular a las personas para que realicen acciones o divulguen información confidencial (phishing, ingeniería social). Por eso es esencial la formación de los empleados en materia de ciberseguridad, para que puedan reconocer y responder adecuadamente a las posibles amenazas.

Independientemente de cómo descubras la vulnerabilidad, ya sea durante la instalación, el funcionamiento del sistema, las pruebas de seguridad o una prueba de penetración, es fundamental manejarla de una manera responsable.

Información responsable: Qué hacer a continuación

El primer paso y el más importante después de identificar una vulnerabilidad es informar directamente al fabricante y coordinar su divulgación pública después de su mitigación. Los fabricantes responsables cuentan con un claro proceso de gestión de vulnerabilidades de ciberseguridad, que suele incluir lo siguiente:

• Una dirección de correo electrónico de contacto de seguridad específica, un formulario de notificación o un sistema de tickets: la mayoría de las empresas ofrecen una forma de comunicar las vulnerabilidades de forma segura. En 2N, por ejemplo, tenemos una Política de gestión de vulnerabilidades pública y un canal de notificación oficial en 2N.com.

• Acuerdos de divulgación coordinados: los investigadores de seguridad suelen trabajar con los fabricantes en un plazo acordado antes de que las vulnerabilidades se hagan públicas.

Lo que NO hay que hacer:

• No asumas que alguien más lo informará. Si ves algo, dilo.

• Evita revelar públicamente la vulnerabilidad hasta que la organización afectada haya tenido tiempo suficiente para solucionarla.

• No compartas detalles de la vulnerabilidad con personas o entidades no autorizadas.

¿Qué es un programa de divulgación de vulnerabilidades?

Un fabricante responsable probablemente seguirá un marco de programa de divulgación de vulnerabilidades y, como tal, tomará los siguientes pasos:

1. Acuse de recibo: la empresa debe confirmar la recepción del informe y proporcionar una evaluación inicial.
   
   
2. Investigación y análisis de riesgos: los expertos en seguridad evalúan la gravedad de la vulnerabilidad, valoran la facilidad con la que puede ser explotada y determinan las estrategias de mitigación más eficaces. Además, todas las partes deben acordar un calendario para la publicación de una solución y la posterior divulgación pública de la vulnerabilidad.
   
   
3. Desarrollo de una solución: el fabricante trabaja en un parche de seguridad para resolver el problema.
   
   
4. Prueba y verificación de la vulnerabilidad de seguridad: La solución debe probarse para garantizar que resuelve correctamente la vulnerabilidad sin introducir nuevos problemas.
   
   
5. Divulgación pública y asignación de CVE: Durante la comunicación mutua, las partes deben acordar la asignación de un ID de CVE (Vulnerabilidades y Exposiciones Comunes) para hacer pública la vulnerabilidad una vez que esté disponible una solución.

¿Qué son CVE y CNA?

• CVE (Common Vulnerabilities and Exposures) es un programa de divulgación de vulnerabilidades estándar en el sector: un sistema que rastrea y nombra las vulnerabilidades de seguridad. Cada entrada de CVE describe una vulnerabilidad específica de ciberseguridad, su gravedad, la puntuación CVSS correspondiente, los productos afectados, el aviso de seguridad pertinente y los parches disponibles.

• CNA (CVE Numbering Authority) es una organización autorizada para asignar identificadores CVE. Algunos de los principales fabricantes del sector de la informática y la seguridad, como Axis, Cisco y Honeywell, entre otros, actúan como CNA.

¿Qué pasa si se ignoran las vulnerabilidades?

Una vez que se publica el parche de seguridad, los integradores de sistemas y los equipos de TI deben actuar rápidamente para aplicar las actualizaciones. Retrasar las actualizaciones deja a los sistemas vulnerables a la explotación.

Un ejemplo de lo que ocurre cuando se ignoran las vulnerabilidades de ciberseguridad:

• Un ejemplo importante de un fabricante que descuidó la gestión de vulnerabilidades y que no seguía las mejores prácticas de ciberseguridad fue la violación de datos de Equifax (2017). Una vulnerabilidad conocida de Apache Struts (CVE-2017-5638) que no se corrigió a tiempo, lo que provocó la exposición de 147 millones de registros, incluidos números de la Seguridad Social en EE. UU. La violación culminó en una multa de 700 millones de dólares y daños irreparables a su reputación.

Este caso subraya una lección crucial: identificar las vulnerabilidades no es suficiente, sino que la respuesta rápida y la comunicación transparente son clave.

¿Por qué asociarse con fabricantes transparentes?

• Para proteger a tus clientes: cuando los clientes invierten en productos de alta calidad, esperan un sistema seguro y actualizado. Al asociarse con fabricantes que lanzan actualizaciones de seguridad oportunas, te aseguras de que los sistemas de tus clientes sigan siendo resistentes, fortaleciendo las relaciones y la confianza a largo plazo.

• Para reforzar tu experiencia: saber cómo gestionar las vulnerabilidades de ciberseguridad te convierte en un socio más valioso para tus clientes. Además, puedes ofrecer paquetes de mantenimiento y actualizaciones proactivas como parte del modelo de servicio, creando nuevas fuentes de ingresos.

• Para asegurarte de que trabajas con fabricantes responsables: los proveedores que se toman en serio la seguridad proporcionarán políticas claras y transparentes de gestión de vulnerabilidades de ciberseguridad, que incluirán alertas tempranas, avisos de seguridad y orientación sobre la protección de los sistemas desplegados.

La ciberseguridad es una responsabilidad compartida

Hemos cerrado el círculo: ningún sistema será seguro al 100% y siempre surgirán vulnerabilidades. Pero con informes responsables, pruebas proactivas de vulnerabilidades de seguridad y una colaboración transparente entre fabricantes e integradores, es posible mitigar los riesgos y generar confianza.

Tanto si eres integrador, desarrollador o investigador de seguridad, tu papel en la ciberseguridad es importante. Y comprender cómo gestionar las vulnerabilidades es una de las habilidades más importantes que puede adquirir.