Qué se debe hacer (y qué no) cuando encuentras una vulnerabilidad informática

Cyberspace 2784907 1280

No hace falta ser investigador de seguridad o especialista en sistemas para encontrarse, por casualidad o curiosidad, ante una vulnerabilidad. El fallo de seguridad conocido este lunes en la web de Movistar, sin ir más lejos, es un buen ejemplo: fue descubierto por un usuario.

Fue esta persona la que informó del agujero de seguridad a la asociación de consumidores FACUA-Consumidores en Acción, quien denunció ante la Agencia Española de Protección de Datos y públicamente el hallazgo del agujero de seguridad menos de 24 horas después de comunicarlo y menos de 12 horas después de su resolución.

FACUA iba a anunciar la brecha de seguridad de Movistar, sin dar detalles, menos de 24 horas después de comunicarla a la operadora

¿Fue lo correcto? ¿Cómo debemos proceder en el caso de encontrarnos con una posible vulnerabilidad? Lo vemos.

El caso de la web de Movistar y FACUA

Facua Movistar Brecha De Seguridad Facturas

FACUA-Consumidores en Acción anunciando en su página web el agujero de seguridad hallado en la página web de Movistar.

El proceder de FACUA ante lo encontrado en la web de Movistar, según han explicado, fue el siguiente: comprobar el aviso del usuario, acudir a un notario para que verificase y levantase acta de las irregularidades y comunicar la existencia del problema a la compañía.

Esta comunicación se llevó a cabo la tarde del domingo avisando de que anunciarían el descubrimiento al día siguiente aunque "sin entrar en detalles" según asegura a Xataka el portavoz de la organización, Rubén Sánchez. Telefónica cerró el agujero en unas pocas horas, durante la madrugada del domingo al lunes, y por la mañana FACUA hizo público el problema detallándolo al no existir riesgo de explotación.

Se ha hecho completamente pública la brecha de seguridad al estar solucionada y no existir riesgo de explotación

Si la organización de consumidores hubiese deseado seguir la política de revelación parcial de vulnerabilidades generalmente aceptada en el ámbito de seguridad informática, la revelación responsable o responsible disclosure en inglés, debería haber cambiado ligeramente su proceder.

Así se hace la "revelación responsable" de una vulnerabilidad

Cyber Security 1923446 1280

Pese a que existe cierta discusión a la hora de definir lo que es la revelación responsable de una vulnerabilidad, una de las propuestas más extendidas entre los procesionales del ramo es la de Stephen A. Shepherd.

A grandes rasgos, establece que cuando se descubre una brecha el descubridor debe informar al responsable de la misma. A veces, incluso, ambos deben contar con una tercera parte que medie en las comunicaciones, que deben ser seguras, confiables y lo más directas posibles para evitar filtraciones.

Si el responsable es receptivo, comprueba la vulnerabilidad, da crédito a los descubridores y actúa para darle una solución en un tiempo razonable, unos 30 días, el descubridor debería esperar a que se publique el arreglo para revelar toda la información sobre la misma salvo el expoit.

Suelen ofrecerse un periodo de entre 30 y 90 días para que una empresa u organización resuelva un problema de seguridad

El periodo que se da para la solución, según cuenta a Xataka el experto en seguridad Lorenzo Martínez, responsable de Securízame y redactor en Security By Default, puede llegar a extenderse hasta 90 días.

Si finalmente no se soluciona o si el responsable del agujero no es receptivo y no toma cartas en el asunto, el investigador estaría legitimado a llevar a cabo una revelación completa o full disclosure, que no contendría el expoit, a pesar de que la vulnerabilidad continúe donde estaba.

Este método, como nos cuenta Martínez, es empleado por algunos investigadores directamente, sin intentar establecer ningún contacto con los responsables de la falla. "Lo descubro y lo publico", resume. Este método expondría todavía más los datos de usuarios y podría llevar a los tribunales al descubridor si es identificado. "Puede acarrerar problemas legales de protección de datos, para empezar".

Revelar una vulnerabilidad directamente "puede acarrerar problemas legales de protección de datos, para empezar"

Otra forma de proceder, nos dice el responsable de Securízame, es la no revelación o no disclosure: callarse y no decir nada.

"Si esa vulnerabilidad no se reporta, no es noticia hoy, quien la ha descubierto podría bajarse las facturas de todo el mundo. Podría ir incrementando o decrementando todas las facturas para, por ejemplo, llegar a identificar un teléfono que pertenezca a la Casa Real o a alguien famoso que le apetezca mirar y que sea de Movistar, en este caso", explica.

Airear casos similares a los de Movistar o tantos otros similares sin avisar a ninguna autoridad o parte involucrada en el problema no es bueno para nadie. Ni para la empresa responsable de los ficheros, ni sobre todo para los usuarios cuya información se expone con una excepción: quien ponga precio a esos datos. "Esa información aprovechada para malas intenciones podría valer mucho dinero", asegura Lorenzo Martínez.

¿Y qué dice la legislación?

Reglamento General De Proteccion De Datos

Inicio del Reglamento General de Datos de la Unión Europea.

En el caso perfecto de que una vulnerabilidad sea descubierta internamente por una empresa antes de que sea explotada, en términos legales no habría nada que hacer a priori. La cosa cambia si ese fallo ha sido explotado o conocido externamente, como ha sucedido con el de la web de Movistar. Entra en juego el Reglamento General de Protección de Datos si sucede en la Unión Europea o afecta a ciudadanos de los Estados miembros.

Pese a que desde Telefónica expliquen que "hasta el momento no se ha detectado ningún acceso fraudulento", lo cierto es que tres personas que no deberían haber accedido a las facturas de otros clientes lo han hecho, como mínimo: el usuario que descubrió la vulnerabilidad, el miembro de FACUA que recibiese el aviso y el notario que levantó acta.

Porque el RGPD define las violaciones de la seguridad de los datos personales como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".

El RGPD establece que la notificación de una brecha de seguridad relacionada con datos personales debe hacerse a la autoridad competente en un plazo máximo de 72 horas

El reglamento europeo, en aplicación desde el pasado 25 de mayo, establece la notificación de una brecha de seguridad relacionada con los datos personales a la autoridad competente en un plazo máximo de 72 horas, "a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas". La notificación deberá describir la naturaleza del problema, describir las posibles consecuencias y las medidas adoptadas para solucionarlas, entre otros datos requeridos.

Y hay más. Porque si la violación de la seguridad de los datos personales es probable que entrañe un alto riesgo para los derechos y las libertades de las personas, la comunicación debe realizarse también al interesado. Es decir, a los afectados cuyos datos hayan sido comprometidos y puedan estar en riesgo de alguna manera. Esta comunicación también contempla un plazo máximo de 72 horas a contar desde que los responsables del tratamiento de la información sean conscientes del problema de seguridad.

Incumplir la obligación de notificar este tipo de violaciones de seguridad puede acarrear multas administrativas de 10 millones de euros como máximo o, si se trata de una empresa, las sanciones pueden alcanzar una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.