Divulgación de Vulnerabilidades

Durante muchos años los clientes han solicitado los sistemas operativos y aplicaciones proporcionen cada vez más funcionalidades. Los proveedores continuamente se apresuran a satisfacer este requerimiento, mientras también intentan incrementar las ganancias y su participación en el mercado. Esta combinación de competir en el mercado y mantener una ventaja competitiva, ha resultado en software conteniendo fallas, fallas las cuales abarcan desde las únicamente molestas, hasta críticas y peligrosas vulnerabilidades las cuales directamente afectan el nivel de protección del cliente.

Las habilidades de la comunidad de Hacking están continuamente incrementándose. Solía tomar meses para la comunidad de Hacking realice un ataque exitoso para una vulnerabilidad identificada; actualmente esto ocurre en días o incluso horas. El incremento de interés y talento en la comunidad criminal, equivale a ataques y malware más rápido como también dañino. Es imperativo los proveedores no se centren únicamente en el descubrimiento de vulnerabilidades verdaderas, sino también trabajen para publicar soluciones necesarias para los clientes lo antes posible.

Para esto suceda, los profesionales en Hacking Ético deben entender y seguir métodos adecuados para revelar las vulnerabilidades identificadas en el software de un proveedor. Si un individuo descubre una vulnerabilidad y la explora ilegalmente, además de comunicarlo a otros como realizar esta actividad, a esta persona se le considera un “sombrero negro”. Si un individuo descubre una vulnerabilidad y la explota con autorización, se le considera un “sombrero blanco”. Si una persona diferente descubre una vulnerabilidad, no la explota ilegalmente ni le dice a otros sobre esto, además de trabajar con el proveedor para arreglarlo, a esta persona se le considera un “sombrero gris”.

Actualmente se promueve la utilización del conocimiento y el compartilo de una manera responsable, lo cual no únicamente ayudará a la industria sino también a la comunidad. Para hacer esto se debe entender las políticas, procedimientos, y directrices, las cuales han sido desarrolladas para permitir a los Hackers Ético y proveedores trabajar juntos.

Fuentes:

https://en.wikipedia.org/wiki/Responsible_disclosure
https://www.eff.org/security

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1