{"id":10662,"date":"2022-06-25T08:47:15","date_gmt":"2022-06-25T14:47:15","guid":{"rendered":"https:\/\/www.newsmillenium.com\/?p=10662"},"modified":"2022-06-25T08:47:19","modified_gmt":"2022-06-25T14:47:19","slug":"tres-datos-para-entender-los-avisos-de-vulnerabilidades-en-ciberseguridad","status":"publish","type":"post","link":"https:\/\/www.newsmillenium.com\/index.php\/2022\/06\/25\/tres-datos-para-entender-los-avisos-de-vulnerabilidades-en-ciberseguridad\/","title":{"rendered":"Tres datos para entender los avisos de vulnerabilidades en ciberseguridad"},"content":{"rendered":"\n<ul class=\"wp-block-list\"><li><em>Estar al tanto y conocer las nuevas vulnerabilidades reportadas es un punto esencial para mantener seguros los sistemas.<\/em><\/li><\/ul>\n\n\n\n<p><a href=\"https:\/\/fluidattacks.com\/\">Fluid Attacks<\/a>, compa\u00f1\u00eda de <em>hacking<\/em> \u00e9tico especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas y Autoridad de Numeraci\u00f3n de CVE (CNA), explica c\u00f3mo se reportan y se dan a conocer las vulnerabilidades detectadas en los distintos programas inform\u00e1ticos alrededor del mundo para estar al tanto de los riesgos que pueden afectar el trabajo de las organizaciones y usuarios.<\/p>\n\n\n\n<p>Las vulnerabilidades de seguridad cibern\u00e9tica divulgadas p\u00fablicamente se encuentran identificadas, definidas y catalogadas en un programa conocido como CVE (por su nombre en ingl\u00e9s, <em>Common Vulnerabilities and Exposures<\/em>). Actualmente este programa cuenta con m\u00e1s de 176,400 registros accesibles a trav\u00e9s de su p\u00e1gina web y comunica por Twitter cuando son reci\u00e9n publicados.<\/p>\n\n\n\n<p>\u201cDiariamente se reportan nuevas vulnerabilidades encontradas en todo tipo de programas, las cuales podr\u00edan poner en riesgo el funcionamiento de los sistemas y la integridad y confidencialidad de los datos en las compa\u00f1\u00edas. Los CNA estamos comprometidos con reportar de manera responsable las vulnerabilidades de d\u00eda cero que encontramos a trav\u00e9s del <em>hacking<\/em> \u00e9tico, siempre con el objetivo de reducir el riesgo de los usuarios\u201d, comenta Mauricio G\u00f3mez, cofundador de Fluid Attacks.<\/p>\n\n\n\n<p>A continuaci\u00f3n, Fluid Attacks da a conocer tres datos claves para comprender los avisos de vulnerabilidades y poder mantener seguros los sistemas:<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\"><li><strong>\u00bfQui\u00e9nes generan avisos de vulnerabilidad?<\/strong><\/li><\/ol>\n\n\n\n<p>Todos los usuarios pueden reportar una vulnerabilidad en un <em>software<\/em> siguiendo el procedimiento que indique su creador, el cual deber\u00e1 actuar lo m\u00e1s pronto posible para verificar el problema y, en caso de que s\u00ed est\u00e9 presente, publicar avisos de seguridad, advertir a sus usuarios y solucionar la vulnerabilidad. Si quien descubre la vulnerabilidad es un equipo de ciberseguridad que es CNA, el creador debe tener presente las pol\u00edticas de divulgaci\u00f3n responsable de este equipo, porque este \u00faltimo determina luego de cu\u00e1nto tiempo reportar\u00e1 la vulnerabilidad para conocimiento de usuarios y del resto de expertos a nivel mundial, ya sea en colaboraci\u00f3n con el creador esperando que publique una soluci\u00f3n, o sin esta. Son solo los CNA los que pueden asignar un n\u00famero \u00fanico de identificaci\u00f3n y descripci\u00f3n de la vulnerabilidad reconocida por el CVE.<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\" start=\"2\"><li><strong>\u00bfDe qu\u00e9 tipo de programas se publican m\u00e1s com\u00fanmente avisos de seguridad?<\/strong><\/li><\/ol>\n\n\n\n<p>Los avisos de seguridad tratan m\u00e1s frecuentemente de <em>software<\/em> de c\u00f3digo abierto (OSS, por sus siglas en ingl\u00e9s), que est\u00e1n disponibles al p\u00fablico en plataformas como GitHub o SourceForge y se construyen colectivamente dentro de la comunidad.<\/p>\n\n\n\n<p>\u201cEsto no significa necesariamente que el OSS sea menos seguro que el <em>software<\/em> privado, sino que, al mantener p\u00fablico su c\u00f3digo fuente, es decir, los archivos que contienen las instrucciones necesarias para que un sistema funcione, es m\u00e1s f\u00e1cil que alguien encuentre fallas. Esto puede ser una ventaja, porque as\u00ed hay muchas m\u00e1s personas que pueden contribuir a hacer el <em>software<\/em> m\u00e1s seguro\u201d, explica G\u00f3mez.<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\" start=\"3\"><li><strong>\u00bfQu\u00e9 protocolo se debe seguir para comunicar una vulnerabilidad en el <em>software<\/em>?<\/strong><\/li><\/ol>\n\n\n\n<p>Cuando los cibercriminales se enteran de una vulnerabilidad, buscan aprovecharla para comprometer los datos e informaci\u00f3n de actividades de las empresas, as\u00ed como los datos de los trabajadores, colaboradores y hasta clientes. Por esta raz\u00f3n existen protocolos que deben seguir los usuarios y los CNA para intentar manejar la situaci\u00f3n de la mejor manera al momento de descubrir alg\u00fan problema de seguridad.<\/p>\n\n\n\n<p>La primera acci\u00f3n debe ser revisar atentamente las pol\u00edticas de seguridad del creador del <em>software<\/em>, de modo que se pueda conocer cu\u00e1l es la direcci\u00f3n de contacto y qu\u00e9 tipo de pruebas se requieren para verificar la existencia de la vulnerabilidad. Si esta resulta ser verdadera, el creador puede llegar a un acuerdo con quien la ha reportado para que no se divulgue la informaci\u00f3n inmediatamente, sino que se conceda un tiempo para hacer disponible una versi\u00f3n del <em>software<\/em> en que se haya remediado la vulnerabilidad. En estos casos, se hace un llamado a los usuarios por los medios designados, para que actualicen a la versi\u00f3n m\u00e1s segura. Pero en casos en que el creador no act\u00faa de forma r\u00e1pida, puede incumplir con los lineamientos de un CNA o agotar la paciencia del usuario que lo report\u00f3, y la informaci\u00f3n de la vulnerabilidad es reportada sin una soluci\u00f3n, con el fin de alertar a los usuarios a que protejan sus sistemas. Los CNA publican la informaci\u00f3n, junto con toda la evidencia, en sincron\u00eda con el registro del programa CVE.<\/p>\n\n\n\n<p>\u201cDar a conocer el descubrimiento de nuevas vulnerabilidades inform\u00e1ticas es una ayuda para que todos los usuarios, dentro y fuera de las organizaciones, puedan empezar acciones para proteger sus sistemas. Es importante remediar las vulnerabilidades al momento de ser reportadas; adem\u00e1s, las organizaciones deber\u00edan realizar pruebas de seguridad continuas en su tecnolog\u00eda desde las etapas iniciales del desarrollo, para poder evitar encontrar problemas cuando ya esta se encuentra en manos de los usuarios\u201d, concluye el cofundador de Fluid Attacks.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Estar al tanto y conocer las nuevas vulnerabilidades reportadas es un punto esencial para mantener seguros los sistemas. Fluid Attacks, compa\u00f1\u00eda de hacking \u00e9tico especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas y Autoridad de Numeraci\u00f3n de CVE (CNA), explica c\u00f3mo se reportan y se dan a conocer las vulnerabilidades [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":10663,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"tdm_status":"","tdm_grid_status":"","footnotes":""},"categories":[17,12],"tags":[],"class_list":{"0":"post-10662","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-excelencia-empresarial","8":"category-tecnologia-y-ciencia"},"jetpack_featured_media_url":"https:\/\/www.newsmillenium.com\/wp-content\/uploads\/2022\/06\/portada-1-Mauricio-Gomez-cofundador-de-Fluid-Attacks-3-scaled.jpg","amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/posts\/10662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/comments?post=10662"}],"version-history":[{"count":1,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/posts\/10662\/revisions"}],"predecessor-version":[{"id":10664,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/posts\/10662\/revisions\/10664"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/media\/10663"}],"wp:attachment":[{"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/media?parent=10662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/categories?post=10662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.newsmillenium.com\/index.php\/wp-json\/wp\/v2\/tags?post=10662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}