ENTRADAS
jueves, 19 de julio de 2018

Polémica de FACUA al publicar el fallo de Movistar

Polémica de FACUA al publicar el fallo de Movistar
Cualquiera puede encontrar una brecha de seguridad por casualidad o curiosidad, no hace falta ser un investigador de seguridad. En el caso del fallo de seguridad en la web de Movistar fue descubierto por un usuario.

Esta persona informó de la brecha de seguridad a la asociación de consumidores FACUA, quien denunció ante la Agencia Española de Protección de Datos, hasta ahí todo correcto, y públicamente el hallazgo del agujero de seguridad en menos de 24 horas después de comunicarlo y menos de 12 horas después de solucionarlo.

¿Está esto bien hecho?¿Es así como se debe actuar ante una posible vulnerabilidad?

En el caso de la web de Movistar


Según la versión de la organización el usuario les reporta el problema, se comprueba, posteriormente acuden a un notario para que lo verifique y levante un acta sobre la existencia del problema.

A telefónica se le comunica durante la tarde del domingo al mismo tiempo que FACUA publica un tuit (a las 19:50) en el que se asegura "FACUA detecta un agujero de seguridad en la web de una de las principales empresas del IBEX 35 que daba acceso a los datos de facturación de sus clientes".

Movistar soluciona el problema durante la madrugada del domingo al lunes. Y tras conocer la información que hablaba sobre la vulnerabilidad iniciaron comprobaciones de forma preventiva. Finalmente durante la mañana del lunes el portavoz de FACUA compareció ante los medios de comunicación para hablar sobre lo ocurrido y de forma muy detallada.

La forma de proceder de la asociación de consumidores durante la tarde del domingo fue criticada en redes sociales por profesionales relacionados con la seguridad informática. Pese a todo, si FACUA hubiese deseado seguir la política de revelación parcial de vulnerabilidades generalmente aceptada en el ámbito de seguridad informática, la revelación responsable o responsible disclosure en inglés, debería haber cambiado su forma de proceder.


Cómo hacer una revelación responsable de una vulnerabilidad


Se establece que cuando se llega a descubrir un fallo de seguridad el descubridor debe informar al responsable del fallo. En ocasiones ambos disponen de una tercera parte que medie en las comunicaciones, que en todo caso, deben ser seguras, confiables y directas para evitar filtraciones.

Si el responsable comprueba la vulnerabilidad, da crédito a los descubridores y actúa para darle una solución en un tiempo razonable, unos 30 días, el descubridor debería esperar a que se publique el arreglo para revelar toda la  información sobre la misma salvo el exploit, fragmento de datos o secuencia de comandos o acciones.

Normalmente el periodo que se da para solucionar el problema puede llegar a ser de 90 días y si al final no se soluciona o simplemente el responsable no hace nada para intentar solucionarlo, el descubridor estaría legitimado para hacer una revelación completa, siempre sin el exploit.

¿Qué dice el RGPD?


Si en una empresa se produce una vulnerabilidad y se repara antes de que sea explotada, no tienen porque hacer nada. En cambio, si el fallo ha sido explotado o conocido externamente y si afecta a ciudadanos de los Estados miembros entra el RGPD.

El reglamento europeo establece la notificación de una brecha de seguridad relacionada con los datos personales a la autoridad competente en un plazo máximo de 72 horas. La notificación deberá describir la naturaleza del problema,  describir las posibles consecuencias y las medidas adoptadas para solucionarlas, entre otros datos requeridos.

Y además si la violación de la seguridad de los datos personales es probable que entrañe un alto riesgo para los derechos y las libertades de las personas, la comunicación debe realizarse también al interesado.

Incumplir la obligación de notificar este tipo de violaciones de seguridad puede llegar a acarrear multas administrativas de 10 millones de euros como máximo o, si se trata de una empresa, las sanciones pueden alcanzar una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Facebook Sharer
Pinterest Sharer