Directrices Coordinadas para la Divulgación de Vulnerabilidades

Todas las tecnologías contienen fallos de seguridad; por tanto, la investigación de seguridad de buena fe, incluido el derecho a remitir y recibir información y transparencia, redunda en interés del público en estos casos. Teniendo esto en cuenta, le proporcionamos la siguiente información que explica cómo gestiona Cybernews la divulgación de vulnerabilidades.

Nos preocupamos mucho por la seguridad de las empresas y sus usuarios que dependen en gran medida de tecnologías que contienen vulnerabilidades. Nuestro objetivo es contribuir a la prevención de las ciberamenazas e impedir posibles daños. Por esta razón, cuando tenemos información sobre una nueva vulnerabilidad, en primer lugar hacemos todo lo posible por ponernos en contacto con la entidad responsable.

Si podemos identificar a la empresa/propietario de la tecnología que contiene la vulnerabilidad, nos ponemos en contacto con ellos por correo electrónico y les damos al menos un periodo de gracia de 30 días para parchear la vulnerabilidad (a menos que les satisfaga un periodo más corto). Intentamos proporcionar toda la información necesaria para ayudar a la empresa y, si lo solicita, concedemos una prórroga del periodo de gracia para vulnerabilidades especialmente difíciles, pero no más de 120 días en total desde la revelación inicial.

Si la empresa/propietario no responde, nos ponemos en contacto con una oficina local del equipo de respuesta a emergencias informáticas (CERT) siempre que sea posible y pedimos su ayuda para contactar con la empresa/propietario y ayudarle a parchear la vulnerabilidad.

También nos ponemos en contacto con el CERT en los casos en que la empresa/propietario nos es desconocido e informamos de que tenemos información sobre la vulnerabilidad y la empresa/propietario afectado no nos responde o es desconocido.

En cualquier caso, si vemos que tendríamos que compartir alguna información sensible, sugerimos la comunicación a través de canales cifrados.

Normalmente publicamos la noticia cuando se soluciona el problema. En los casos en que las vulnerabilidades no se solucionan, seguimos creyendo que es de interés público saber que se utilizan tecnologías vulnerables y propensas a los ciberataques. Tenga la seguridad de que, antes de publicar la noticia, tomamos todas las medidas de precaución para minimizar cualquier riesgo, incluida la de no publicar ninguna información que pueda llevar a los malos actores a replicar o explotar la vulnerabilidad, basándonos únicamente en nuestra investigación.

Cuando es posible, también informamos a la empresa/propietario sobre nuestros planes de publicar la historia y le damos la oportunidad de dar su opinión sobre el asunto.