Reportes de vulnerabilidad: las consecuencias de exponer la data  

Cuando las empresas sufren una filtración deben implementar protocolos de divulgación que privilegien la protección de la información comprometida.

Los gobiernos, las organizaciones y las personas están cada vez más expuestos a la filtración de datos en internet. Comprender el impacto que tiene su publicación masiva hace parte de los nuevos retos para un mundo híper conectado.

Fluid Attacks, compañía especializada en realizar pruebas de seguridad tecnología en las empresas, explica las repercusiones que tienen este tipo de comportamientos y ofrece una serie de recomendaciones para actuar de manera responsable y ética frente a estos hechos.

Para entender los riesgos que se corren con la publicación de vulnerabilidades, Felipe Gomez, LATAM Manager de Fluid Attacks, analiza un caso que sucedió recientemente: “Una persona actualizó la información de su visa a través del portal oficial de la entidad en el país, al hacer este proceso descubrió que podía ver y descargar los datos del documento de otras personas con sólo hacer un pequeño cambio al final de la URL. Ante las consecuencias de lo expuesto y por la divulgación mediática que tuvo el hecho, se hace evidente que las organizaciones necesitan establecer protocolos que protejan la información que se hace pública en diferentes lugares”.

Cuando se filtran datos de una organización, y una empresa o un ciudadano los publica en internet, los riesgos aumentan y se abre la posibilidad para que los ciberdelincuentes aprovechen la oportunidad, divulguen y comprometan activos relacionados a las vulnerabilidades halladas de un sistema de TI (Tecnología de la Información).

Fluid Attacks, como compañía que desarrolla tecnología de primer nivel para detectar vulnerabilidades en sistemas empresariales de forma rápida y precisa, recomienda que cuando una persona o una organización tenga filtraciones de información de este tipo, tenga presente los siguientes aspectos:

1. Proteger: Acceder a datos sensibles de terceros, así sea de manera involuntaria, es un delito y pone en riesgo la seguridad de personas y organizaciones.

2. Denunciar: Cuando se detectan este tipo de filtraciones, se debe contactar y denunciar el incidente ante los organismos oficiales en el país, cómo puede la policía, con su unidad especializada en delitos informáticos, además de notificar de manera formal a la entidad comprometida.

3. Divulgar Responsablemente: Entender el canal y conducto regular para divulgar una brecha de seguridad. Las redes sociales, no son el lugar adecuado para reportar una vulnerabilidad, su exposición es tan grande que resulta imposible saber quién tiene acceso a esta y qué tipo de uso le van a dar. Al final, las consecuencias podrían ser peores que la intención de hacer una denuncia.

Frente a este tipo de casos, la Organización Internacional de Normalización (ISO), que cuenta con la participación de 165 países, en su norma: IEC 29147: 2018, explica que como un procedimiento estándar con respecto a la publicación de vulnerabilidades: “El objetivo de su exposición es reducir los riesgos asociados con su divulgación”.

“Las oportunidades de mejora para las organizaciones, surgen cuando las vulnerabilidades se ven expuestas, donde hubo fallas de seguridad técnicas o de metodología. Las empresas requieren prestar una atención especial a la gestión de reportes y la implementación de los estándares, ante cualquier tipo de incidente es fundamental establecer un canal de divulgación coordinado, de fácil acceso para la transmisión segura y transparente en el manejo de la información”, concluye el representante de Fluid Attacks.

Cuando suceden estos incidentes, debería primar el bien común, sobre el personal. El deseo de figurar o tener una exposición mediática no puede estar por encima de la protección de los datos sensibles para una organización o una persona.