Ir al contenido principal

¿Cómo reportar una Vulnerabilidad Y No Acabar Picando Piedra?

Has encontrado una vulnerabilidad y quieres reportarla, pues debes saber que no es un proceso sencillo ya que pueden pasarte las siguientes cosas:
  • Que lo reportes y ni te contesten.
  • Que lo reportes, te contesten dándote las gracias y ni lo arreglen. 
  • Que lo reportes, se cabreen y acabes demandado por la empresa, solo por querer ayudarles a mejorar su seguridad. 
  • Que lo reportes, te contesten y lo solucionen (No suele ser la más común)
Así que aquí van unos consejos para que consigas reportar la vulnerabilidad de forma efectiva y no acabes mal parado:

Comprueba si tienen un sistema de bug bounty: Son programas en los que se premian (económicos, Hall of fame etc.) a los hackers por encontrar vulnerabilidades muchas grandes empresas ya lo están aplicando entre ellas Google, Microsoft, Apple o Facebook.




Si no tienen el sistema de bug bounty mi recomendación es que no te comuniques con la empresa y el reporte lo hagas directamente con un CERT (centro de respuesta ante incidentes) o con la GDT (Grupo de Delitos Telemáticos).Ellos se encargaran de ponerlo en conocimiento de la empresa.




Este sería el esquema que yo seguiría también hemos de tener en cuenta que la vulnerabilidades no se han de soltar a la ligera es decir si encuentras una vulnerabilidad no lo pongas en twitter etc. Es más las empresas a las que reportas te suelen dar una fecha de embargo para que puedas publicar la investigación de como descubriste ese fallo, este tiempo puede llegar a extenderse hasta 90 días y deberás esperar hasta que se aplique el parche.

Y aun quedaría otra opción por si quieres reportar una vulnerabilidad y aparte cobrar por haberla encontrado. 
Son empresas de terceros que se dedican a comprar estas vulnerabilidades de forma legal, hay gente que vive solo de reportar vulnerabilidades que se venden a empresas como “Zero Day Initiative”.
 


Con este Articulo vengo a reivindicar que la vulnerabilidades se han de reportar porque como dijo Juliano Rizzo “No hemos venido a liberar a la Bestia, hemos venido a matar a la Bestia” y para el que no entienda la frase de juliano viene a decir algo así como “Hemos publicado un fallo que va ser parcheado y si no lo hubiéramos hecho, podría haber sido utilizado por otras personas con fines delictivos".



 ¡¡¡Saludos y suerte HACKERS!!!

pd: Este tema es muy polémico por lo cual te animo a dejar tu visión, como por ejemplo la de un compañero que ha decido no reportar nada ya que según él la ley no entiende de intencionalidad solo se basa en acciones .

Comentarios

Publicar un comentario

Entradas populares de este blog

WriteUp Reto 12+1 del CTF #H4F

Los chicos de “Η a ϲ k е rs4 Ϝ un   ᏟᎢ F  Τе a ⅿ p ropusieron un CTF/reto, al que voy a dar la versión de cómo lo  resolví  a esto se le llama  Write Up. Para lo que no sepáis lo que es  un CTF son una serie de desafíos informáticos enfocados a la seguridad . Manos a la obra enunciado Descargamos desde el enlace el archivo. https://drive.google.com/file/d/1f0P_c6xwdt5a0Rg1fXRbEFzVjVDppY3d/view Nos encontraremos un archivo comprimido que contiene una imagen que si inspeccionamos más a fondo descubriremos que dentro de ella hay un .zip Así pues cambiamos la extensión a .zip para ver su contenido, dentro de este zip nos encontramos otro archivo .zip el cual se llama output.zip y está dañado por lo que  debemos repararlo , por ejemplo yo lo hice con la propia herramienta que trae winRaR. Después de repararlo encontramos tres archivos, hay 2 .wav   (estos con contraseña) y 1 txt. El txt se llama pas...
Publicar un comentario
Leer más

¿Qué diferencia hay entre Spoofing y Phishing?

Me encanta hablar sobre la seguridad informática e incluso a veces enseñar a chavales para prepararlos para que intenten ir a CyberCamp y siempre los conceptos de Spoofing y Phishing son los que más lió  suelen causar. Así que voy a intentar aclararlo.   ·        Phishing : Son correos en masa que se mandan con la intención de que el usuario crea que está hablando con una entidad de confianza (bancos, eléctricas, telcos etc.) y facilite sus credenciales o datos sensibles para aprovecharse de estos y sacar rédito económico.   ·        Spoofing : Son técnicas que utiliza un atacante para suplantar a una entidad a través de la falsificación de los datos en una comunicación. A priori son muy parecidas pero no lo son por ejemplo podemos hacer un correo de Phishing de support@gooogle.com en el que nos soliciten nuestras credenciales. (Caso de Phishing) Pero otra cosa muy diferente sería que nos llegara un...
Publicar un comentario
Leer más