¿Sabes qué es un security.txt? Los investigadores de seguridad informática encuentran anualmente miles de fallos y vulnerabilidades que deben reportarse a las respectivas empresas. No todas cuentan con un protocolo formal para dar este tipo de informes, por lo que surgió la iniciativa de este estándar. Aquí, te contamos qué es un security.txt.
¿Qué es un security.txt?
Un security.txt es un estándar propuesto para que las empresas expresen claramente cómo y por qué medios se pueden reportar los fallos de ciberseguridad. Recientemente, el RFC 9116 A File Format to Aid in Security Vulnerability Disclosure se estableció como protocolo formal. Así, los investigadores sabrán fácilmente a quién contactar cuando encuentren vulnerabilidades.
Empresas como GitHub, Google, Facebook, Adobe, Linkedn o Dropbox ya tienen en cuenta qué es un security.txt, y ponen allí los respectivos datos de seguridad de sus compañías, lo que ha simplificado el flujo de trabajo de los investigadores.
En la estructura de un security.txt encontrarás todos los correos y teléfonos de contacto relacionados con la seguridad informática de la empresa. Asimismo, encontrarás en un sitio web sus políticas de ciberseguridad y los permisos (si los da) para atacar sus páginas.
Estructura de un security.txt
Ahora que sabes qué es un security.txt y para qué sirve, tú también podrías crear uno. Solo tienes que acceder a https://securitytxt.org/ y rellenar un formulario. A continuación, te explicamos su estructura:
- URL: el archivo security.txt se ubica, normalmente, en el directorio well known, pero también puede ubicarse en el directorio raíz del sitio web o, incluso, en ambas direcciones al mismo tiempo.
- Contact: aquí se especifican datos sobre la empresa, como uno o varios correos electrónicos y teléfonos, para contactar al personal de ciberseguridad de tu empresa.
- Expires: una fecha en la que expiran los datos del security.txt. No debería ser mayor a un año.
- Encryption: una clave para encriptar las comunicaciones y mantener a salvo la información.
- Acknowledgements: acceso a una web donde aparecen los reconocimientos de quienes encuentran fallos.
- Preferred-languages: establece los idiomas preferidos para presentar reportes.
- Canonical: la URL de origen del security.txt. Es útil en caso de que alguien obtenga el archivo por otro medio que no sea la dirección original de la página.
- Policy: enlace a las políticas de ciberseguridad de la compañía.
- Hiring: link de contacto para contratar personal de ciberseguridad.
Sigue aprendiendo
Ya sabes qué es un security.txt; ahora, no dudes en continuar formándote gracias a nuestro Ciberseguridad Full Stack Bootcamp. En solo 7 meses, te convertirás en un especialista en ciberseguridad. ¡Inscríbete ahora!