{"id":22734,"date":"2020-05-20T09:25:50","date_gmt":"2020-05-20T07:25:50","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22734"},"modified":"2020-05-20T09:25:50","modified_gmt":"2020-05-20T07:25:50","slug":"vulnerability-disclosure-ethics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/","title":{"rendered":"Principios \u00e9ticos de la divulgaci\u00f3n de vulnerabilidades"},"content":{"rendered":"

Los errores y las vulnerabilidades se vuelven casi inevitables cuando se desarrolla un sistema inform\u00e1tico, software<\/em> o hardware<\/em> sofisticado. A menudo, estos errores no los encuentran los empleados ni los t\u00e9cnicos expertos de la empresa que elaboran el software<\/em> o el hardware<\/em>, sino los investigadores externos. La eliminaci\u00f3n de estos errores y vulnerabilidades potenciales es crucial para lograr una ciberseguridad de confianza, donde tambi\u00e9n trabajan nuestros investigadores y expertos. De esta forma, los humanos, que son la principal fuente de errores y fallos, tambi\u00e9n son un factor clave para una detecci\u00f3n y correcci\u00f3n oportuna. A su vez, es importante darse cuenta de que este proceso de correcci\u00f3n de errores puede generar nuevos riesgos y faltas en vez de solucionar el problema.<\/p>\n

En Kaspersky, nos ce\u00f1imos a principios \u00e9ticos claros y transparentes para la divulgaci\u00f3n responsable de vulnerabilidades (RVD por sus siglas en ingl\u00e9s); es decir, el proceso que seguimos cuando hallamos vulnerabilidades en los sistemas de otras organizaciones. Hemos basado nuestros cinco principios en nuestros m\u00e1s de 23 a\u00f1os de trabajo total y seguimos inspir\u00e1ndonos en algunas de las mejores pr\u00e1cticas y, en particular, del c\u00f3digo de \u00e9tica<\/a> del Forum of Incident Response and Security Teams (foro de equipos de seguridad y respuesta a incidentes o FIRST, por sus siglas en ingl\u00e9s). En todos los casos, damos la mayor prioridad a la seguridad y la fiabilidad de nuestros usuarios (las personas y las organizaciones que usan los productos y las soluciones de Kaspersky).<\/p>\n

A su vez, respetamos los intereses de todas las partes implicadas: los individuos o las organizaciones cuyo producto es vulnerable, sus clientes (como posibles v\u00edctimas) y la industria de la ciberseguridad en su totalidad.<\/p>\n

Siguiendo estos principios, garantizamos una actuaci\u00f3n transparente<\/a>, responsable y coherente para construir un ecosistema de tecnolog\u00eda de la informaci\u00f3n y la comunicaci\u00f3n (TIC) m\u00e1s seguro. Sin embargo, para que dicha estrategia funcione en toda la industria inform\u00e1tica, otros proveedores (y sus usuarios, investigadores independientes, instancias reguladoras y otras partes interesadas) deben utilizar tambi\u00e9n motivos similares en sus directrices. Por lo tanto, decidimos publicar nuestros principios de divulgaci\u00f3n responsable de vulnerabilidades encontrados en los programas de software<\/em> de otras empresas. Estamos a la vanguardia.<\/p>\n

\"\"<\/p>\n

Principio #1: Ganarse la confianza<\/h2>\n

Un cierto grado de desconfianza es la base de la seguridad de la informaci\u00f3n. Pero las divulgaciones de vulnerabilidades sin la confianza no funcionan, as\u00ed que asumimos la benevolencia como un motivo para todas las partes, aunque naturalmente dedicamos tiempo y esfuerzo en coordinar acciones y reducir cualquier da\u00f1o de la vulnerabilidad. Se trata de confiar, pero tambi\u00e9n verificar. No publicamos informaci\u00f3n acerca de las vulnerabilidades por diversi\u00f3n o ambici\u00f3n, sino que lo hacemos en beneficio y seguridad de los usuarios y la sociedad.<\/p>\n

Principio #2: Informar primero a la parte afectada<\/h2>\n

La divulgaci\u00f3n de vulnerabilidades es un proceso complejo que puede enfrentarse a muchos obst\u00e1culos, tales como participantes que no responden o que incluso son inaccesibles. Pese a dichos inconvenientes, es crucial proporcionar informaci\u00f3n oportuna y precisa a los proveedores. En primer lugar, coordinamos esfuerzos conjuntamente para eliminar la vulnerabilidad y minimizar el riesgo para el usuario. Para ello, a cambio, el proveedor necesita proporcionar un modo claro y transparente de informar y procesar la informaci\u00f3n acerca de las vulnerabilidades (puedes encontrar informaci\u00f3n adicional sobre c\u00f3mo lidia Kaspersky con esto en este enlace<\/a> y en este<\/a> otro).<\/p>\n

Principio #3: Coordinar esfuerzos<\/h2>\n

Aunque resulte obvio, cada vulnerabilidad es \u00fanica. Algunas amenazan a usuarios de un solo producto y otras pueden afectar a m\u00faltiples partes (por ejemplo, aquellos casos en los cuales las empresas internacionales se ven involucradas con cadenas de suministro complejas). Las vulnerabilidades tambi\u00e9n pueden afectar las redes del sector p\u00fablico y la infraestructura cr\u00edtica, lo que supone una amenaza para la seguridad nacional. Al mismo tiempo, los investigadores y los proveedores no son las \u00fanicas partes pertinentes; las instancias reguladoras, los clientes, los investigadores independientes y los hackers<\/em> de sombrero blanco tambi\u00e9n pueden estar implicados. Para la coordinaci\u00f3n efectiva de las partes interesadas, nos guiamos por las mejores pr\u00e1cticas internacionales (por ejemplo, la norma ISO\/IEC 29147:2018<\/a> para la divulgaci\u00f3n de vulnerabilidades). En particular, intentamos dar a todos los participantes el tiempo suficiente para poder realizar un an\u00e1lisis exhaustivo de vulnerabilidades y desarrollar un m\u00e9todo de correcciones.<\/p>\n

Principio #4: Mantener la confidencialidad cuando proceda<\/h2>\n

Si la informaci\u00f3n t\u00e9cnica sobre una vulnerabilidad se divulga antes de tiempo en el proceso, los atacantes pueden aprovecharse de ella. Por ello, compartimos la informaci\u00f3n de modo confidencial con las partes que necesitan desarrollar medidas de mitigaci\u00f3n y despu\u00e9s trabajamos a trav\u00e9s de los canales de comunicaci\u00f3n de mayor confianza y seguridad con el fin de informar. Por la misma raz\u00f3n, negociamos los t\u00e9rminos y condiciones de divulgaci\u00f3n con el proveedor. Sin embargo, si el proveedor no contesta, dependiendo de la gravedad y la magnitud de la vulnerabilidad y la urgencia del riesgo, realizamos la divulgaci\u00f3n a trav\u00e9s de nuestros propios canales de comunicaci\u00f3n, seg\u00fan nuestras pol\u00edticas internas, regulaciones locales y mejores pr\u00e1cticas de la industria; todo esto al tiempo que mantenemos informado al proveedor.<\/p>\n

Principio #5: Fomentar la conducta deseada<\/h2>\n

A pesar de los esfuerzos de la industria, los ciberdelincuentes contin\u00faan buscando (y encontrando) vulnerabilidades. Por lo tanto, consideramos importante apoyar abiertamente a todos los que informen de las vulnerabilidades de forma responsable y se ci\u00f1an a las mejores pr\u00e1cticas de la industria para una divulgaci\u00f3n responsable.<\/p>\n

Protecci\u00f3n de la divulgaci\u00f3n de vulnerabilidades<\/h2>\n

Estoy convencido de que, si todas las partes se basen en unos principios \u00e9ticos similares, podremos trabajar juntos para hacer el ecosistema de TIC no s\u00f3lo m\u00e1s seguro, sino tambi\u00e9n m\u00e1s sano y fiable para nuestros usuarios; es decir, la gente para la que trabajamos.<\/p>\n

Para m\u00e1s informaci\u00f3n sobre los principios \u00e9ticos para la RVD<\/a>, visita la p\u00e1gina de la iniciativa de transparencia global<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Para garantizar que una divulgaci\u00f3n de vulnerabilidades no cause mayores inconvenientes de los que resuelve, te recomendamos algunos sencillos principios. <\/p>\n","protected":false},"author":2597,"featured_media":22736,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3112,784],"class_list":{"0":"post-22734","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-rvd","11":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerability-disclosure-ethics\/22734\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/vulnerability-disclosure-ethics\/21319\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/16785\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/22348\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerability-disclosure-ethics\/20510\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/18812\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerability-disclosure-ethics\/21759\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerability-disclosure-ethics\/28424\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerability-disclosure-ethics\/8338\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerability-disclosure-ethics\/35581\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerability-disclosure-ethics\/14915\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerability-disclosure-ethics\/15203\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/vulnerability-disclosure-ethics\/13472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerability-disclosure-ethics\/24004\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/vulnerability-disclosure-ethics\/11463\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/vulnerability-disclosure-ethics\/25429\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerability-disclosure-ethics\/22319\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerability-disclosure-ethics\/27607\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerability-disclosure-ethics\/27440\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2597"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=22734"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22734\/revisions"}],"predecessor-version":[{"id":22740,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/22734\/revisions\/22740"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/22736"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=22734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=22734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=22734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}