Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Google anuncia un fondo de asistencia legal para hackers que reciban amenazas tras informar de vulnerabilidades en servicios y empresas


Google ha anunciado la aparición de un nuevo fondo de defensa legal para investigadores en seguridad. El propósito de este fondo, que nace como una organización sin ánimo de lucro, será velar por los investigadores que actúan de buena fe ante las amenazas legales que puedan surgir fruto de su actividad divulgando vulnerabilidades.




  • Google ha publicado un nuevo libro blanco de la ciberseguridad con propuestas para aumentar la transparencia al informar de vulnerabilidades.
  • También ha propuesto un lobby para mejorar la legislación en EEUU y un fondo que pagará la asistencia legal a hackers que sean amenazados con una denuncia.

En pleno siglo XXI todavía es tristemente frecuente ver cómo expertos investigadores en ciberseguridad descubren vulnerabilidades en servicios y sistemas y sus víctimas, en lugar de agradecérselos y recompensarles su trabajo, emprenden acciones legales contra estos mensajeros.

Uno de los ejemplos más claros de este fenómeno tuvo lugar en España hace apenas una década. Un hacker detectó graves vulnerabilidades en las máquinas expendedoras de billetes de Renfe. El experto divulgó su hallazgo de la forma más responsable posible, pero a la vista de la desatención que tuvo por respuesta acabó compartiendo su hallazgo en foros profesionales.

La reacción de la operadora ferroviaria fue una denuncia de la que el hacker salió felizmente absuelto 5 años después, en 2017.

Volvió a suceder lo mismo en España hace apenas unos meses. En la RootedCON, uno de los mayores congresos de ciberseguridad del país, varios hackers de la compañía gallega de ciberseguridad Tarlogic compartieron sus hallazgos: piratear los contadores inteligentes de la luz es posible y el acceso a esos terminales permitía a los atacantes dejar sin luz a barrios enteros.

En la celebrada ponencia se puso de relieve que los expertos de Tarlogic llevaban meses intentando obtener respuesta de las principales operadoras eléctricas del país para que subsanaran las graves vulnerabilidades detectadas en estos aparatos.

Hace lustros que en el mundo de la ciberseguridad se impuso un concepto, el de los programas de divulgación responsable. El término hace referencia a todas aquellas metodologías que permiten a los investigadores en ciberseguridad advertir a las empresas de la presencia de posibles agujeros en sus sistemas.

Sin embargo, ni esas metodologías, ni el desarrollo legislativo, ni fenómenos como el de las bug bounties, programas por el cual los hackers reciben recompensas al detectar esas vulnerabilidades, ha evitado que en muchos casos hallazgos esenciales para el sector digital no hayan intentado ser reprimidos.

Por esta razón, Google ha presentado este jueves una serie de iniciativas con la que tratarán de amparar más y mejor a los hackers que han denunciado graves agujeros en distintas compañías y han recibido el silencio o una amenaza por respuesta.

El nacimiento de un nuevo fondo de defensa legal

"Los investigadores hacen enormes contribuciones a la seguridad. Hoy anunciamos el nacimiento de un fondo que dará asistencia legal a investigadores que actúen de buena fe". "Desafortunadamente, muchos de estos profesionales se enfrentan a menudo a amenazas legales que pueden suponer obstáculos a sus investigaciones y a la divulgación de vulnerabilidades", explica la multinacional.

En el ámbito de la seguridad informática, las vulnerabilidades de día cero o zero-day son aquellas que, en el momento de su descubrimiento, no habían sido todavía detectadas y por lo tanto no habían sido reparadas. Es decir, vulnerabilidades que podían estar siendo aprovechadas por actores maliciosos que sí tuvieran conocimiento de ellas.

"Aunque la notoriedad de las vulnerabilidades de día cero es alta y suele copar titulares, los riesgos continúan a pesar de que sean descubiertas y parcheadas". De hecho, Google apunta que muchas de las vulnerabilidades zero-day que estaban aprovechando terceros maliciosos y que detectaron en 2022 en realidad eran variantes de agujeros similares que ya habían sido reparados antes.

Por eso, Google entiende que muchas de esas vulnerabilidades son fruto de "proveedores implementando reparaciones insuficientes en las vulnerabilidades originales". Por eso, junto a este fondo legal de asistencia para hackers de sombrero blanco —éticos— Google también recoge otra serie de propuestas en un nuevo libro blanco de la ciberseguridad que se ha publicado hoy.

El libro blanco propone, por ejemplo, que los proveedores tecnológicos garanticen más transparencia a la hora de reconocer y compartir vulnerabilidades. Google y las tecnológicas que han colaborado con ella en estas propuestas quieren que los proveedores sean más auditados y escrutados a la hora de cerrar los agujeros que sus sistemas y servicios sufriesen.

También demanda que se preste más atención "a los puntos de fricción" que se puedan dar en los ciclos de detección de una vulnerabilidad para asegurarse que "los riesgos a los usuarios se han respondido eficazmente", así como que se detecte "la raíz y el origen de las vulnerabilidades" para evitar potenciales ataques posteriores.

En el libro blanco, además del alumbramiento del nuevo fondo de asistencia legal para hackers se ha anunciado la creación de un nuevo consejo de políticas hacking que trabajará en estándares para que las empresas de todo el mundo puedan compartirlo y asumirlos a la hora de recibir reportes de vulnerabilidades por parte de investigadores en ciberseguridad.

"Este grupo abogará por políticas de sentido común relacionadas con la divulgación y gestión de vulnerabilidades. Se está formando como un proyecto dentro de un organismo regulador estadounidense y entre los miembros del consejo se encuentran Intel, Luta Security" o algunas plataformas que son intermediarias entre hackers y empresas: BugCrowd o HackerOne.

Ese centro responde a la necesidad de dotar de más legislación en EEUU a la actividad de los cazadores de bugs e investigadores en ciberseguridad en general.

No obstante, en España hay férreos requerimientos por parte de las autoridades. Si una empresa sufre una fuga de datos no solo está obligada a avisar a la Agencia Española de Protección de Datos: en función del caso y del sector, también deberá ponerse en contacto con instituciones como el Instituto Nacional de Ciberseguridad o el Centro Criptológico Nacional.

Fuentes:

https://blog.google/technology/safety-security/new-initiatives-to-reduce-the-risk-of-vulnerabilities-and-protect-researchers/

https://www.businessinsider.es/google-crea-fondo-asistencia-legal-hackers-demandados-1229264


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.