Desde Factorial, una de nuestras prioridades máximas es garantizar la seguridad de nuestra infraestructura y los datos de nuestros clientes, por tal razón, nos aseguramos de usar las mejores y más eficientes herramientas para mantener de forma constante estándares altos de seguridad.
Tenemos un equipo de seguridad diverso, altamente cualificado y especializado en diferentes ramas, lo que nos permite poder cubrir toda la superficie de ataque de nuestra plataforma, monitorizar los ataques que estamos recibiendo 24/7, realizar pruebas de seguridad a nivel interno antes de que nuevas funcionalidades salgan a producción, formar a los desarrolladores sobre OWASP Top 10 [1], investigar sobre nuevos 0-days [2], entre otras tareas que nos indican que estamos haciendo un buen trabajo.
Pero para no explayarnos mucho y ser concisos en la medida de lo necesario, queremos centrarnos en dos términos fundamentales: el primero es el Vulnerability Disclosure Policy (VDP) y el segundo, el Bug Bounty Program (BBP), porque consideramos que todas las empresas deberían adoptar, al menos uno de estos dos.
Vulnerability Disclosure Policy
Un VDP o programa de divulgación de vulnerabilidades, es un programa que brinda pautas claras sobre cómo a una organización le gustaría ser notificada sobre posibles vulnerabilidades de seguridad, encontradas por terceros o hackers externos. Su objetivo, es dar a los hackers éticos instrucciones sobre cómo y dónde informar una vulnerabilidad para que el equipo adecuado pueda abordarlos.
Mientras que un BBP o programa de recompensas por errores, incentiva a terceros externos o hackers a encontrar vulnerabilidades de seguridad en una organización y reportarlas directamente para que puedan ser resueltas de manera segura. Pero a diferencia de los VDP, los buscadores de vulnerabilidades son recompensados con premios monetarios.
¿Por qué es una buena idea tener un VDP?
Es una fantástica práctica tener una política de divulgación de vulnerabilidades de cara al público, ya que alienta a otros a informar los riesgos de seguridad que encuentran. Es habitual que un hacker ético pueda encontrar un fallo de seguridad en sistemas de terceros, y esto suele situarlo entre dos opciones, o reportarlo al equipo de seguridad, arriesgándose inclusive a ser denunciado por dicho acto (aunque haya sido con buena intención) o guardárselo para sí mismo, justamente para evitar dichas repercusiones negativas.
En el caso de que el hacker ético decidiera retenerlo en lugar de reportarlo, en nuestra opinión, esto demuestra una estrategia deficiente o muy débil a nivel de seguridad por parte de la organización vulnerable, y como consecuencia, está esta poniendo en peligro su propia seguridad y la de sus usuarios. Esto debido a que en cualquier momento un ciberdelincuente podría acceder a la misma vulnerabilidad y explotarla de forma maliciosa. Los ciberdelincuentes no duermen.
La decisión de no reportar vulnerabilidades por parte de los hackers éticos para evitar riesgos legales repercute de forma directa y muchas veces trágica en una organización, resultando víctimas de ransomware u otro tipo de incidentes graves.
Los VDP tienen 5 puntos claves:
- Propósito: La declaración de apertura de un VDP que debe incluir las razones por las que se tiene un VDP y por qué es importante tenerlo.
- Alcance: Indica qué propiedades están disponibles y que tipos de vulnerabilidad nos interesa que nos reporten. Esto le da visibilidad a los hackers con respecto a los activos y posibles vulnerabilidades en los que deben su atención.
- Acción segura: Una declaración que asegura a los hackers que no serán sancionados ni se emprenderán acciones legales por las vulnerabilidades que encuentren.
- Proceso de reporte: Los pasos de cómo los hackers pueden enviar informes de seguridad y qué información se requiere en un envío.
- Cómo se evaluarán los informes: Se podría incluir que los tiempos de respuesta variarán según la gravedad y el activo afectado, si los hackers pueden divulgar públicamente las vulnerabilidades encontradas, o bien, si necesitan esperar un correo electrónico de confirmación, entre otros.
¿Tenemos un programa de recompensas por vulnerabilidades en Factorial?
En Factorial, trabajamos con decenas de hackers, entre ellos algunos de los mejores hackers del mundo, en nuestro programa de recompensas privado en HackerOne. Actualmente limitamos nuestro programa de recompensas a un grupo seleccionado de hackers, que son reconocidos por su alta reputación y gran nivel de resultados. De esta forma, nos aseguramos de recibir solo reportes de calidad de la mano de los mejores profesionales.
HackerOne es una empresa que permite a las organizaciones tener su VDP o BBP en su plataforma, por la cual, los hackers pueden realizar reportes y estos pueden ser evaluados por los equipos de seguridad internos de cada organización. Una vez que este reporte ha sido validado, en el caso de los programas de recompensas por errores, el hacker recibirá une remuneración monetaria en proporción a la criticidad de la vulnerabilidad reportada.
¿Tenemos un programa de divulgación de vulnerabilidades en Factorial?
Para nosotros es gratificante y fundamental tener un medio seguro para recibir reportes de vulnerabilidades por parte de terceros. Además, nos encanta recibir nuevos reportes de seguridad y mejorar la seguridad de nuestros sistemas.
Cualquier hacker externo que encuentre un fallo de seguridad puede reportarlo a nosotros, aunque no participe en nuestro programa privado de recompensas por errores. Por lo tanto, cualquiera pueden encontrar nuestra política de VDP en https://hackerone.com/factorial y nos puede reportar potenciales vulnerabilidades de seguridad a security@factorial.co. Con gusto revisaremos los reportes.
Referencias