Cómo comunicar un fallo de ciberseguridad puede ser un asunto muy delicado. Al encontrar un error en un sistema informático, debes actuar con responsabilidad. Los primeros en enterarse deberían ser los del equipo de seguridad de la compañía afectada por el fallo. Sin embargo, muchas empresas aún no comparten esta información de contacto de forma clara.
Según el Hacker Report de 2021, una encuesta anual realizada por HackerOne a miles de profesionales, el 50% de los investigadores informáticos ha dejado de reportar fallos por falta de un proceso claro para hacerlo o por experiencias negativas en el pasado.
Esto provoca un serio problema para el hacking ético: ¿cómo comunicar un fallo de ciberseguridad cuando una compañía no especifica una dirección de correo electrónico o un teléfono para hacerlo? A continuación, te mostraremos las diferentes alternativas e iniciativas que han surgido con respecto a cómo comunicar un fallo de ciberseguridad.
Cómo comunicar un fallo de ciberseguridad
Cómo comunicar un fallo de ciberseguridad implica saber cómo transmitir información delicada para una compañía. Estos datos no los puedes publicar en Twitter, por ejemplo. Aunque suena absurdo, es algo que ha sucedido: usuarios han encontrado fallos y luego los publican en internet. Después de esto, se van a dormir y durante el fin de semana alguien realiza todo tipo de ataques.
Del mismo modo que los hackers deben estar educados para informar sobre fallos, las compañías deben tener políticas de ciberseguridad claras y un equipo que reciba esta información. Para ayudar a estandarizar este proceso, surgió el concepto de los security.txt.
Security.txt
Un security.txt es una propuesta de estándar para que las empresas comuniquen claramente sus políticas de ciberseguridad. Los security.txt también contienen información clara sobre los canales de comunicación apropiados para reportar fallos.
Actualmente, las mayores compañías tecnológicas, como Google, Facebook, Adobe, DropBox, entre muchos otros, están adoptando este estándar. De hecho, cualquiera puede crear su propio security.txt en este portal: https://securitytxt.org/.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaNo obstante, a pesar de la existencia de este estándar, no todas las empresas lo han adoptado aún. Por lo tanto, continúa siendo un reto saber cómo comunicar un fallo de ciberseguridad.
Grupo de Delitos Telemáticos de la Guardia Civil
Cuando una empresa no brinda información clara sobre cómo comunicar un fallo de ciberseguridad, te recomendamos que lo hagas por medio de las autoridades competentes. Hacerle llegar la información del fallo a las personas afectadas es la acción correcta, pero cuando ellos no establecen canales claros, podrían llegar a contestar de mala forma o reclamarte por la forma en la que has descubierto el error. La información también podría llegar a manos de alguien que no sepa qué hacer con ella y, en definitiva, no resolverse el asunto.
Para evitar este tipo de inconvenientes, la Guardia Civil española cuenta con el Grupo de Delitos Telemáticos y su respectivo sitio web, en el que puedes reportar los errores que no puedas comunicar directamente a las compañías.
Programas de Bug Bounty
En contraposición a las empresas que no dejan una vía de comunicación clara están las grandes compañías cuyas políticas de ciberseguridad son como si dijeran: «atácame y, si encuentras algún fallo, repórtamelo y te daré una recompensa». Esto se conoce como un programa de Bug Bounty y la mayoría de las grandes compañías tecnológicas cuenta con uno.
En este tipo de programas, los hackers éticos pueden ganar dinero y experiencia encontrando fallos para compañías, que definen claramente sus políticas de ciberseguridad, los canales y la forma para encriptar el reporte de los bugs.
¿Por qué aprender a comunicar un fallo de ciberseguridad?
La definición de un hacker de sombrero blanco es la de aquel que penetra un sistema de ciberseguridad con la autorización de la compañía atacada y con el fin de reportar todos los fallos que encuentre. Esta es la tarea, por ejemplo, de un Red Team, que busca simular ataques para encontrar las vulnerabilidades de un sistema informático.
Por lo tanto, saber cómo comunicar un fallo de ciberseguridad forma parte de tu función como hacker ético o de sombrero blanco, una profesión cada vez más demandada por el mundo corporativo.
¿Cómo seguir aprendiendo?
Cómo comunicar un fallo de ciberseguridad es un asunto que aún no se termina de estandarizar globalmente, pero que ya va en esa dirección. Todos los bugs deberían llegar a las manos del equipo de respuesta a incidentes o Blue Team de una empresa. Sin embargo, muchas aún no invierten lo suficiente en ciberseguridad, a pesar de tener los recursos para hacerlo.
No obstante, cada vez hay más ciberataques y, asimismo, más conciencia en las empresas sobre la seguridad informática. Es posible que incluso la ley llegue a obligar a las compañías a invertir en ciberseguridad, por lo que cada vez es más probable que cuenten con estos equipos apropiados de gente preparada para lidiar con estas vulnerabilidades.
Aprovecha esta oportunidad y conviértete en un experto en ciberseguridad. Visita nuestro Ciberseguridad Full Stack Bootcamp y transfórmate en un especialista en menos de 7 meses. ¡No esperes más! Solicita información e inscríbete ahora.
