La divulgación de las vulnerabilidades de un sistema representa la culminación del trabajo de un hacker ético, pero existe una opinión confrontada ante este aspecto.
Los profesionales de la seguridad informática opinan que si los hackers de sombrero negro ya conocen la vulnerabilidad, ¿por qué no publicarla? En caso contrario, estaríamos restringiendo el conocimiento a unos pocos y los sistemas de millones de empresas o personas podrían estar en peligro.
Además, si los chicos malos no conocen la vulnerabilidad, tarde o temprano la descubrirán sin que se haya publicado ninguna notificación oficial, así pues conocer los detalles ayuda más a los hackers éticos que a los hacker de sombrero negro. Esta es una premisa fundamental derivada de que una seguridad efectiva no se puede basar en el oscurantismo, sino en la concienciación.
Por otro lado, tenemos la opinión de los fabricantes de software, que ven la divulgación completa de los hallazgos desde un prisma completamente diferente, ya que el conocimiento público de vulnerabilidades podría peligrar las ventas de sus productos, por lo que propone que solamente los investigadores necesitan conocer los detalles de una determinada vulnerabilidad. Además, opinan que la divulgación completa solamente abre la puerta a mayores abusos y actos ilegales.
En su contexto ambas partes tienen razón, pero lo que si es cierto es que la concienciación en seguridad es la mejor arma con la que se puede combatir, y para ello el oscurantismo no puede existir. Desde el punto de vista de la auditoría de seguridad informática, la identificación y comunicación de vulnerabilidades debe ser realizada a todas las partes implicadas, siendo el primer paso para establecer una correcta política de seguridad informática.
Saludos,
El equipo de iSoluciones
Los profesionales de la seguridad informática opinan que si los hackers de sombrero negro ya conocen la vulnerabilidad, ¿por qué no publicarla? En caso contrario, estaríamos restringiendo el conocimiento a unos pocos y los sistemas de millones de empresas o personas podrían estar en peligro.
Además, si los chicos malos no conocen la vulnerabilidad, tarde o temprano la descubrirán sin que se haya publicado ninguna notificación oficial, así pues conocer los detalles ayuda más a los hackers éticos que a los hacker de sombrero negro. Esta es una premisa fundamental derivada de que una seguridad efectiva no se puede basar en el oscurantismo, sino en la concienciación.
Por otro lado, tenemos la opinión de los fabricantes de software, que ven la divulgación completa de los hallazgos desde un prisma completamente diferente, ya que el conocimiento público de vulnerabilidades podría peligrar las ventas de sus productos, por lo que propone que solamente los investigadores necesitan conocer los detalles de una determinada vulnerabilidad. Además, opinan que la divulgación completa solamente abre la puerta a mayores abusos y actos ilegales.
En su contexto ambas partes tienen razón, pero lo que si es cierto es que la concienciación en seguridad es la mejor arma con la que se puede combatir, y para ello el oscurantismo no puede existir. Desde el punto de vista de la auditoría de seguridad informática, la identificación y comunicación de vulnerabilidades debe ser realizada a todas las partes implicadas, siendo el primer paso para establecer una correcta política de seguridad informática.
Saludos,
El equipo de iSoluciones
