Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Divulgación responsable de vulnerabilidades: a veces antes no es mejor
La Unión Europea lleva con la seguridad de los dispositivos conectados en su punto de mira desde finales de 2020. Y agregamos que con razón, a la vista de que la mayoría de los dispositivos IoT no cuenta con diseños que incorporen requisitos de seguridad desde el inicio, sino que más bien se guían por un principio de competencia y eficiencia de costes. La seguridad se ha convertido en un after-thought si es que entra en la ecuación de alguna forma.
La presidenta de la comisión Ursula von der Leyen, en su discurso sobre el estado de la Unión de septiembre de 2021, mencionó la necesidad de una posición de la Unión Europea en materia cibernética e instó a la comisión a realizar una propuesta antes de finales de 2022 con requisitos comunes de Ciberseguridad para los dispositivos conectados.
Esa propuesta llegó en septiembre de 2022 y se denominó Reglamento de Ciberresiliencia (CRA por sus siglas en inglés, Cyber Resilience Act). Posteriormente, en julio de este año, se llegó a un acuerdo sobre la posición común del Consejo, que modifica algunos puntos de la propuesta de la comisión, pero da luz verde a la Presidencia española entablar negociaciones con el Parlamento Europeo sobre la versión definitiva del acto legislativo propuesto.
CRA – Artículo 11: Obligaciones de información de los fabricantes
Uno de los artículos del Reglamento de Ciber resiliencia propuesto se centra en la obligación de los fabricantes de informar de cualquier vulnerabilidad aprovechada activamente a autoridades nacionales competentes en un plazo de 24 horas desde su conocimiento. Suena bien, ¿no?
Primero desde el punto de vista de la transparencia. Segundo, cuanto antes se sepa, antes se podrá poner en alerta a los equipos de detección y respuesta y se podrá minimizar el potencial impacto de la explotación de dicha vulnerabilidad en las empresas y ciudadanos. ¿No?
No siempre. Como ocurre muchas veces en ciberseguridad, el equilibrio entre la transparencia y la seguridad es muy inestable y a veces más rápido no significa más seguro, o al menos así lo entiende un grupo de más de 50 expertos y organizaciones tecnológicas que han firmado una carta abierta en la que piden a la Unión Europea que reconsideren dicho artículo 11 de la próxima Ley de Ciberresiliencia.
Entre los firmantes de la carta figuran representantes de Google, Arm, la Electronic Freedom Foundation y muchos de los principales proveedores de seguridad actuales, como Trend Micro, Rapid7, Tenable y HackerOne por citar algunos.
Los firmantes de la carta abierta sostienen que el artículo 11 de la CRA amplía enormemente el número de organizaciones que tendrán conocimiento inmediato, de vulnerabilidades activamente explotadas, lo que, a su vez, aumenta los riesgos para los fabricantes, sus clientes y el público, en general.
Los tres riesgos que destacan en su carta abierta
A criterio de los firmantes, la redacción actual introduce nuevos riesgos que interfieren con su propósito original de mejorar la ciberseguridad en Europa.
1. Mal uso de las vulnerabilidades reportadas para labores de vigilancia e inteligencia
La información sobre fallos explotados activamente puede acabar en manos de algunas agencias de inteligencia y se utilice indebidamente para operaciones de inteligencia y vigilancia.
No está mal tirada, sobre todo después de que en los últimos tres o cuatro años se haya descubierto a algunos Estados miembros de la UE haciendo un uso indebido de programas espía, en casos evidentes de vigilancia ilegal.
2. Riesgo de exposición a actores maliciosos
Con tantas nuevas partes implicadas en el tratamiento de la información de un ZeroDay, aumenta el riesgo de que se produzcan filtraciones y revelaciones accidentales. Estos casos proporcionarían, detalles sobre la explotación activa a los ciberdelincuentes, que podrían recrear los exploits y abusar de los mismos fallos en sus propias campañas.
Recordemos que esta divulgación se ha de realizar en 24 horas desde su conocimiento lo que implica que potencialmente o incluso probablemente no existan parches o mitigaciones completamente desarrolladas.
3. Desincentivar la notificación de vulnerabilidades por parte de investigadores de seguridad
Los expertos también temen que las nuevas normas de divulgación de un ZeroDay de la UE interfieran con los actuales procedimientos coordinados de divulgación, que, en algunos casos, tienden a mantener en secreto la explotación en curso hasta que pueden preparar y probar parches antes de hacer pública la información sobre la vulnerabilidad.
Contrapropuesta de expertos y organizaciones tecnológicas
Los firmantes aseguran estar de acuerdo con la obligación de reportar vulnerabilidades de forma rápida, pero consideran crucial conservar un proceso de divulgación de vulnerabilidades responsable y coordinado.
Proponen bien eliminar el párrafo relativo a la notificación en 24 horas de forma completa, o incluir las siguientes modificaciones:
- Debería prohibirse explícitamente a las agencias utilizar o compartir las vulnerabilidades reveladas a través de la CRA con fines de inteligencia, vigilancia u ofensivos.
- Exigir que sólo se informe a las agencias de las vulnerabilidades que se puedan mitigar y en un plazo de 72 horas desde que se hagan públicas las medidas efectivas de mitigación (por ejemplo, un parche).
- La CRA no debería exigir la notificación de vulnerabilidades que solamente sean explotadas y reportadas en privado por investigadores de seguridad en buena fe, ya que no suponen una amenaza de seguridad por no ser aprovechadas activamente por actores maliciosos.
Conclusiones
A veces la intención de tratar de ser diligentes en aras de mejorar la ciberseguridad, para las empresas y ciudadanos de la unión europea, choca de frente con la realidad de la complejidad de la divulgación de vulnerabilidades.
Todos los que hemos participado en un proceso de descubrimiento, parcheado y mitigación de vulnerabilidades sabemos que el equilibrio en el manejo de los tiempos es muy importante.
Al menos bajo mi punto de vista, coincido con la propuesta de los firmantes de la carta de la adopción de un enfoque basado en riesgos. Que se tenga en cuenta factores como la severidad, la disponibilidad de parches, el impacto potencial en los usuarios y la probabilidad de explotación a gran escala.
Sería más fácil el tradicional “lentejas para todos”… pero hay una larga escala de grises entre el blanco y el negro, oh sorpresa, lamentablemente la ciberseguridad no es fácil.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
Imagen de Harryarts en Freepik.
