Como desarrolladores de software de seguridad, en ESET entendemos la importancia de proteger la privacidad y seguridad de todos los usuarios de tecnología, no solo de nuestros clientes. Valoramos la confianza que nuestros clientes depositan en nuestros productos y servicios y estamos comprometidos a mantener su seguridad y privacidad al abordar cualquier problema que se nos notifique. Del mismo modo, respetando los intereses comerciales legítimos de otros proveedores de hardware, software y servicios, si nuestra investigación continua descubre vulnerabilidades en tus ofertas, el objetivo de ESET es garantizar la mejor protección de nuestro mundo digital colectivo. Creemos que esto se consigue mejor a través de un proceso coordinado de divulgación de vulnerabilidades.
Política coordinada de divulgación de vulnerabilidades
Los procesos coordinados de divulgación de vulnerabilidades alientan a los investigadores y proveedores a coordinar tus esfuerzos, con el enfoque en proporcionar el mayor nivel de protección para la más amplia variedad de usuarios de tecnología, al mismo tiempo que lo hacen de manera oportuna. Si descubrimos una vulnerabilidad en un producto o servicio de terceros, haremos numerosos intentos para localizar e informar a los proveedores afectados, trabajaremos en cooperación con ellos en una resolución adecuada de la vulnerabilidad y retendremos la divulgación pública de la vulnerabilidad hasta que el proveedor publique una actualización, o hasta que hayan pasado 90 días desde que se estableció el contacto inicial con el proveedor, lo que ocurra primero. Si no logramos establecer un contacto satisfactorio con un proveedor, esperaremos 90 días desde nuestro primer intento de contacto con el proveedor antes de revelar públicamente una vulnerabilidad.
Nos comprometemos a no tratar de obtener ganancias económicas de ninguna vulnerabilidad que descubramos y a adherirnos a los principios de divulgación coordinada tal como se expresan en esta política.
Toda la comunicación relacionada con las vulnerabilidades descubiertas por los investigadores de ESET debe dirigirse a: ayuda@eset.es
Descubrimiento y notificación
Los investigadores de ESET pueden descubrir vulnerabilidades en productos o servicios de terceros por varias razones. Aparte de los equipos de investigación con un enfoque específico en la investigación de vulnerabilidades, el análisis de software sospechoso y malintencionado también suele dar como resultado el descubrimiento de vulnerabilidades, servicios mal configurados que pueden aprovecharse para acceder a lo que deberían ser datos privados, etc.
Cuando los investigadores de ESET descubran una posible vulnerabilidad o un servicio mal configurado, seguirán este proceso:
- Se harán grandes esfuerzos para localizar los contactos apropiados para el producto o servicio afectado, incluyendo: direcciones de rol de correo electrónico estándar del sector como secure@<dominio>, security@<dominio>; lo que esté listado en los metadatos de security.txt del dominio; soporte técnico o contactos similares fácilmente identificables a partir del producto o servicio, su documentación o el sitio web del proveedor; cuentas de redes sociales; o cualquier otro método de contacto que podamos haber utilizado con éxito anteriormente para proveedores relevantes.
- Los contactos identificados recibirán un informe de divulgación de vulnerabilidades que describirá los productos o servicios afectados, la vulnerabilidad, los pasos para activarlas, información sobre su actividad, una evaluación del impacto de la vulnerabilidad y, posiblemente, sugerencias sobre cómo mitigar o corregir la vulnerabilidad. Este informe también incluirá un enlace a esta política, una oferta de cualquier asistencia adicional que podamos proporcionar y una declaración de nuestra intención de publicar un informe de divulgación de vulnerabilidades.
- El proveedor deberá ofrecer una respuesta, aunque solo sea para cuestionar la afirmación de vulnerabilidad o para solicitar más detalles.
- Si no se recibe respuesta en un plazo de 7 días naturales, se reenviará el mismo mensaje a los contactos identificados y se buscarán otros posibles contactos, quienes también recibirán el informe de divulgación de vulnerabilidad. Estos contactos pueden solicitarse a otros investigadores de seguridad con los que colaboramos regularmente o a CERT regionales, industriales o nacionales y organizaciones similares. Además de señalar que tenemos una vulnerabilidad de seguridad que revelar a los contactos previstos, respetaremos la confidencialidad de todos los detalles importantes sobre la vulnerabilidad mientras buscamos estos contactos adicionales.
- Nuevamente, dado que este debe ser un proceso cooperativo, el proveedor deberá ofrecer una respuesta.
- Si no hay respuesta en el plazo otros 14 días naturales, intentaremos contactar por teléfono con los proveedores afectados.
- Si ninguno de estos intentos de contacto da como resultado una respuesta satisfactoria, publicaremos una divulgación de vulnerabilidad 90 días naturales después del intento inicial de contactar con los proveedores afectados. Responder a nuestro informe de divulgación de vulnerabilidades con amenazas legales se considerará una respuesta insatisfactoria. Nuestra intención no es sino ayudarte a ti y a tus clientes a lograr un mejor resultado de seguridad o privacidad. Carecemos de todo interés económico en el mismo.
- Si el proveedor da una respuesta satisfactoria a cualquiera de estos intentos de contacto, trabajaremos cooperativamente con él tal como se describe en la siguiente sección.
Mitigación y cronología
Una vez que un proveedor responda a nuestro contacto de divulgación de vulnerabilidades e indique su voluntad de abordar la vulnerabilidad, los investigadores de ESET trabajarán en cooperación con el proveedor durante un plazo de 90 días naturales a partir de la fecha en que el proveedor nos responda. Después de 90 días, o antes si se corrige la vulnerabilidad, etc., publicaremos una divulgación de vulnerabilidad.
- Como no puede ser de otra manera, alentamos a los proveedores a abordar las vulnerabilidades de seguridad en el menor tiempo posible, pero acordamos que un esfuerzo prolongado para reducir el tiempo de corrección puede producir un resultado insatisfactorio. Nuestro énfasis va dirigido a lograr la mayor mejora en la seguridad o privacidad general, por lo que la velocidad de mitigación es siempre un acto de equilibrio.
- En general, nos comprometemos a no publicar una divulgación de vulnerabilidad: en un plazo de 90 días naturales a partir de la recepción de la respuesta inicial del proveedor; o en un plazo de 90 días desde el primer intento de contacto en los casos en que no haya respuesta del proveedor, o el proveedor no responda satisfactoriamente y no esté dispuesto a colaborar; o en un plazo menor en coordinación con el lanzamiento de una actualización o parche que solucione la vulnerabilidad por parte del proveedor.
- Sin embargo, nos reservamos el derecho de publicar una divulgación de vulnerabilidad en cualquier momento, dependiendo de varios factores que incluyen, entre otros: si el proveedor publica una actualización sin cooperar con este proceso; otros investigadores publican detalles de la vulnerabilidad de forma independiente; el descubrimiento de la vulnerabilidad se aprovecha para realizar ataques en el mundo real; o se produce un empeoramiento significativo en nuestra evaluación del impacto de la vulnerabilidad.
- Por ejemplo, si consideramos que el interés público requiere la publicación inmediata (como la explotación activa de una vulnerabilidad de alto impacto en el mundo), nos reservamos el derecho de publicar la investigación en un plazo de 7 días naturales tras nuestro primer intento de notificación, o posiblemente antes en casos extremadamente urgentes, como el de un gusano informático que explota una vulnerabilidad de red de día cero para propagarse por Internet. En tales casos, esta intención se describirá claramente en el informe de divulgación de vulnerabilidades enviado a los proveedores.
- En casos excepcionales, podríamos, bajo nuestro criterio exclusivo, otorgar un periodo de gracia superior a 90 días. Aquellos proveedores que necesiten más tiempo para desarrollar, probar y lanzar mitigaciones adecuadas deberán, cuanto antes, plantear la posibilidad de solicitar más tiempo en el proceso de divulgación coordinado.
- Por último, nos reservamos la opción de revelar el descubrimiento a un tercero de confianza, como un CSIRT, un CERT nacional o una confederación industrial adecuada (por ejemplo, FS-ISAC, ICASI) con el fin de que ayude a coordinar la revelación, o incluso que se encargue directamente de la coordinación de la revelación. En este último caso, se aplicarán las políticas de divulgación de esa organización, y no esta política.