Desde Factorial, una de nuestras prioridades m谩ximas es garantizar la seguridad de nuestra infraestructura y los datos de nuestros clientes, por tal raz贸n, nos aseguramos de usar las mejores y m谩s eficientes herramientas para mantener de forma constante est谩ndares altos de seguridad.
Tenemos un equipo de seguridad diverso, altamente cualificado y especializado en diferentes ramas, lo que nos permite poder cubrir toda la superficie de ataque de nuestra plataforma, monitorizar los ataques que estamos recibiendo 24/7, realizar pruebas de seguridad a nivel interno antes de que nuevas funcionalidades salgan a producci贸n, formar a los desarrolladores sobre OWASP Top 10 [1], investigar sobre nuevos 0-days [2], entre otras tareas que nos indican que estamos haciendo un buen trabajo.
Pero para no explayarnos mucho y ser concisos en la medida de lo necesario, queremos centrarnos en dos t茅rminos fundamentales: el primero es el Vulnerability Disclosure Policy (VDP) y el segundo, el Bug Bounty Program (BBP), porque consideramos que todas las empresas deber铆an adoptar, al menos uno de estos dos.
Vulnerability Disclosure Policy
Un VDP o programa de divulgaci贸n de vulnerabilidades, es un programa que brinda pautas claras sobre c贸mo a una organizaci贸n le gustar铆a ser notificada sobre posibles vulnerabilidades de seguridad, encontradas por terceros o hackers externos. Su objetivo, es dar a los hackers 茅ticos instrucciones sobre c贸mo y d贸nde informar una vulnerabilidad para que el equipo adecuado pueda abordarlos.
Mientras que un BBP o programa de recompensas por errores, incentiva a terceros externos o hackers a encontrar vulnerabilidades de seguridad en una organizaci贸n y reportarlas directamente para que puedan ser resueltas de manera segura. Pero a diferencia de los VDP, los buscadores de vulnerabilidades son recompensados con premios monetarios.
驴Por qu茅 es una buena idea tener un VDP?
Es una fant谩stica pr谩ctica tener una pol铆tica de divulgaci贸n de vulnerabilidades de cara al p煤blico, ya que alienta a otros a informar los riesgos de seguridad que encuentran. Es habitual que un hacker 茅tico pueda encontrar un fallo de seguridad en sistemas de terceros, y esto suele situarlo entre dos opciones, o reportarlo al equipo de seguridad, arriesg谩ndose inclusive a ser denunciado por dicho acto (aunque haya sido con buena intenci贸n) o guard谩rselo para s铆 mismo, justamente para evitar dichas repercusiones negativas.
En el caso de que el hacker 茅tico decidiera retenerlo en lugar de reportarlo, en nuestra opini贸n, esto demuestra una estrategia deficiente o muy d茅bil a nivel de seguridad por parte de la organizaci贸n vulnerable, y como consecuencia, est谩 esta poniendo en peligro su propia seguridad y la de sus usuarios. Esto debido a que en cualquier momento un ciberdelincuente podr铆a acceder a la misma vulnerabilidad y explotarla de forma maliciosa. Los ciberdelincuentes no duermen.
La decisi贸n de no reportar vulnerabilidades por parte de los hackers 茅ticos para evitar riesgos legales repercute de forma directa y muchas veces tr谩gica en una organizaci贸n, resultando v铆ctimas de ransomware u otro tipo de incidentes graves.
Los VDP tienen 5 puntos claves:
- Prop贸sito: La declaraci贸n de apertura de un VDP que debe incluir las razones por las que se tiene un VDP y por qu茅 es importante tenerlo.
- Alcance: Indica qu茅 propiedades est谩n disponibles y que tipos de vulnerabilidad nos interesa que nos reporten. Esto le da visibilidad a los hackers con respecto a los activos y posibles vulnerabilidades en los que deben su atenci贸n.
- Acci贸n segura: Una declaraci贸n que asegura a los hackers que no ser谩n sancionados ni se emprender谩n acciones legales por las vulnerabilidades que encuentren.
- Proceso de reporte: Los pasos de c贸mo los hackers pueden enviar informes de seguridad y qu茅 informaci贸n se requiere en un env铆o.
- C贸mo se evaluar谩n los informes: Se podr铆a incluir que los tiempos de respuesta variar谩n seg煤n la gravedad y el activo afectado, si los hackers pueden divulgar p煤blicamente las vulnerabilidades encontradas, o bien, si necesitan esperar un correo electr贸nico de confirmaci贸n, entre otros.
驴Tenemos un programa de recompensas por vulnerabilidades en Factorial?
En Factorial, trabajamos con decenas de hackers, entre ellos algunos de los mejores hackers del mundo, en nuestro programa de recompensas privado en HackerOne. Actualmente limitamos nuestro programa de recompensas a un grupo seleccionado de hackers, que son reconocidos por su alta reputaci贸n y gran nivel de resultados. De esta forma, nos aseguramos de recibir solo reportes de calidad de la mano de los mejores profesionales.
HackerOne es una empresa que permite a las organizaciones tener su VDP o BBP en su plataforma, por la cual, los hackers pueden realizar reportes y estos pueden ser evaluados por los equipos de seguridad internos de cada organizaci贸n. Una vez que este reporte ha sido validado, en el caso de los programas de recompensas por errores, el hacker recibir谩 une remuneraci贸n monetaria en proporci贸n a la criticidad de la vulnerabilidad reportada.
驴Tenemos un programa de divulgaci贸n de vulnerabilidades en Factorial?
Para nosotros es gratificante y fundamental tener un medio seguro para recibir reportes de vulnerabilidades por parte de terceros. Adem谩s, nos encanta recibir nuevos reportes de seguridad y mejorar la seguridad de nuestros sistemas.
Cualquier hacker externo que encuentre un fallo de seguridad puede reportarlo a nosotros, aunque no participe en nuestro programa privado de recompensas por errores. Por lo tanto, cualquiera pueden encontrar nuestra pol铆tica de VDP en https://hackerone.com/factorial y nos puede reportar potenciales vulnerabilidades de seguridad a [email protected]. Con gusto revisaremos los reportes.
Referencias
