Siguiendo el ejemplo de otras compañías, como la fundación Mozilla o Google, Facebook ha anunciado que comenzará a pagar a aquellos investigadores que encuentren fallos de seguridad en su código y les informen de ello. La cantidad ofrecida por esta red social es de 500 dólares, aunque también anuncian que se puede incrementar en casos específicos.
No obstante, esta política de pagar a los investigadores por descubrir y compartir con los fabricantes y proveedores de servicios las vulnerabilidades descubiertas es apoyada por unos y rechazada por otros. Por un lado tenemos a muchos fabricantes que se oponen a pagar a aquellos investigadores que descubren este tipo de fallos, mientras que en el otro extremo están aquellos investigadores que abogan por el “Full disclosure” o, lo que viene a ser lo mismo, la publicación de todos los detalles de la vulnerabilidad descubierta, incluyendo los pasos a seguir para aprovecharla. Y, por otra parte, tenemos también empresas que contratan (no recompensan) a empresas especializadas para que lleven a cabo este tipo de trabajo.
Sin embargo, ningún fabricante o desarrollador está en condiciones de asegurar que no tiene fallos de seguridad…, pero anunciarlo públicamente puede animar, todavía más, a los ciberdelincuentes a buscarlos más intensamente. Y ya puestos, si un ciberdelincuente descubre una vulnerabilidad, probablemente llegará a la conclusión de que explotándola con cualquiera de sus creaciones puede hacer más caja que vendiéndosela a Facebook, que, como ya mencionamos antes, ofrece un ingreso medio de 500 dólares.
Entre estas dos posiciones enfrentadas encontramos a aquellos que abogan por una “Responsible disclosure”. En este punto encontramos iniciativas como Zero Day Initiative, que invita a los investigadores a ofrecerles sus descubrimientos (pagándoles por ellos) y, seguidamente, ellos se encargan de contactar con los fabricantes afectados, dándoles un periodo de tiempo para solucionar las vulnerabilidades descubiertas. En caso de que una vez pasado este tiempo no se hayan solucionado, las vulnerabilidades se hacen públicas.
También hay que tener en cuenta que, a la hora de publicar vulnerabilidades, los investigadores se pueden ver afectados por la legislación en materia de delitos informáticos de cada país. Este punto, y el que la mayoría de empresas afectadas suelen reaccionar de forma negativa ante cualquier comunicación con alguien que les informa de vulnerabilidades, hace que muchas veces estas no se comuniquen o, lo que es peor, terminen vendiéndose por grandes cantidades de dinero en foros underground a delincuentes sin escrúpulos que las usarán en beneficio propio.
Para evitar malentendidos, si queremos informar de una vulnerabilidad que hemos descubierto, lo mejor que podemos hacer es ponernos en contacto con alguno de los múltiples equipos de respuesta a incidentes de seguridad informáticos que hay en nuestro país y ellos se encargarán de contactar con el afectado sin revelar la identidad del investigador.
Como vemos, este tema da para muchas interpretaciones, pero lo que está claro es que las vulnerabilidades las encuentra gente que dedica tiempo a investigar fallos de seguridad. Recordemos que es fácil dejarse tentar por el camino fácil y vender este tipo de información al mejor postor, por lo que es justo entonces que estos investigadores vean recompensado su esfuerzo, ya sea en forma de agradecimiento o pagándoles por su trabajo.
Josep Albors