FACUA no lo hizo bien al publicar el fallo de Movistar: qué se debe hacer (y qué no) cuando encuentras una vulnerabilidad

No hace falta ser investigador de seguridad o especialista en sistemas para encontrarse, por casualidad o curiosidad, ante una vulnerabilidad. El fallo de seguridad conocido este lunes en la web de Movistar, sin ir más lejos, es un buen ejemplo: fue descubierto por un usuario.

Fue esta persona la que informó del agujero de seguridad a la asociación de consumidores FACUA-Consumidores en Acción, quien denunció ante la Agencia Española de Protección de Datos y públicamente el hallazgo del agujero de seguridad menos de 24 horas después de comunicarlo y menos de 12 horas después de su resolución.

FACUA iba a anunciar la brecha de seguridad de Movistar, sin dar detalles, menos de 24 horas después de comunicarla a la operadora

¿Fue lo correcto? ¿Cómo debemos proceder en el caso de encontrarnos con una posible vulnerabilidad? Lo vemos.

El caso de la web de Movistar y FACUA

FACUA-Consumidores en Acción anunciando en su página web el agujero de seguridad hallado en la página web de Movistar.

En el caso del agujero en la web de Movistar revelado por FACUA, los hechos son los siguientes: según la versión de la organización, un usuario les reporta el problema, ellos lo comprueban, acuden a un notario para que verifique y levante acta sobre lo descubierto y comunican la existencia del problema a la operadora.

Esta comunicación a Telefónica se realiza durante la tarde del domingo, al mismo tiempo que publican un tuit, a las 19:50, en el que aseguran haber detectado "un agujero de seguridad en la web de una de las principales empresas del IBEX 35" que daba acceso "a los datos de facturación de sus clientes". Añadían que Rubén Sanchez, su portavoz, iba a comparecer en rueda de prensa al día siguiente "para dar detalles".

Movistar, según su propia versión y la de FACUA, soluciona la brecha durante la madrugada del domingo al lunes. Previamente, tras conocer la información que hablaba de una vulnerabilidad en "una de las principales empresas del IBEX 35", iniciaron comprobaciones de forma preventiva según han informado. Durante la mañana del lunes, tal y como estaba previsto, el portavoz de FACUA compareció ante los medios para hablar sobre este incidente y lo hizo de forma totalmente detallada.

En la misma tarde que comunicaron a Movistar la brecha, según su versión, FACUA publicaba un tuit anunciando un agujero de seguridad "en la web de una de las principales empresas del IBEX 35" que daba acceso "a los datos de facturación de sus clientes"

La forma de proceder de la asociación de consumidores durante la tarde del domingo fue criticada en redes sociales por profesionales relacionados con la seguridad informática. Román Ramírez, gerente de Operaciones y Arquitectura de Seguridad en Ferrovial, por ejemplo, les contestó al tuit arriba mencionado reprochándoles su proceder: "Esta no es la manera de comunicar problemas de seguridad en empresas. Este procedimiento solamente puede tener como objetivo hacer daño y anotarse un tanto mediático. No estáis haciendo lo correcto".

El propio portavoz, Rubén Sánchez, en conversación con Xataka, asegura que informaron del agujero a Movistar avisándoles de que anunciarían el descubrimiento al día siguiente. Eso sí, dice que "Telefónica sabía que íbamos a hacer pública la existencia el agujero, no las características del agujero". "Eso nunca lo habríamos hecho público hasta que Movistar no lo hubiera resuelto; la información que íbamos a dar era que existía este fallo, que además es un fallo extremadamente grave, un error básico de programación", reitera.

Pese a todo, si FACUA hubiese deseado seguir la política de revelación parcial de vulnerabilidades generalmente aceptada en el ámbito de seguridad informática, la revelación responsable o responsible disclosure en inglés, debería haber cambiado su forma de proceder.

Así se hace la "revelación responsable" de una vulnerabilidad

Pese a que existe cierta discusión a la hora de definir lo que es la revelación responsable de una vulnerabilidad, una de las propuestas más extendidas entre los procesionales del ramo es la de Stephen A. Shepherd.

A grandes rasgos, establece que cuando se descubre una brecha el descubridor debe informar al responsable de la misma. A veces, incluso, ambos deben contar con una tercera parte que medie en las comunicaciones, que deben ser seguras, confiables y lo más directas posibles para evitar filtraciones.

Si el responsable es receptivo, comprueba la vulnerabilidad, da crédito a los descubridores y actúa para darle una solución en un tiempo razonable, unos 30 días, el descubridor debería esperar a que se publique el arreglo para revelar toda la información sobre la misma salvo el expoit.

Suelen ofrecerse un periodo de entre 30 y 90 días para que una empresa u organización resuelva un problema de seguridad

El periodo que se da para la solución, según cuenta a Xataka el experto en seguridad Lorenzo Martínez, responsable de Securízame y redactor en Security By Default, puede llegar a extenderse hasta 90 días.

Si finalmente no se soluciona o si el responsable del agujero no es receptivo y no toma cartas en el asunto, el investigador estaría legitimado a llevar a cabo una revelación completa o full disclosure, que no contendría el exploit, a pesar de que la vulnerabilidad continúe donde estaba.

Este método, como nos cuenta Martínez, es empleado por algunos investigadores directamente, sin intentar establecer ningún contacto con los responsables de la falla. "Lo descubro y lo publico", resume. Este método expondría todavía más los datos de usuarios y podría llevar a los tribunales al descubridor si es identificado. "Puede acarrear problemas legales de protección de datos, para empezar".

Revelar una vulnerabilidad directamente "puede acarrear problemas legales de protección de datos, para empezar"

Otra forma de proceder, nos dice el responsable de Securízame, es la no revelación o no disclosure: callarse y no decir nada.

"Si esa vulnerabilidad no se reporta, no es noticia hoy, quien la ha descubierto podría bajarse las facturas de todo el mundo. Podría ir incrementando o decrementando todas las facturas para, por ejemplo, llegar a identificar un teléfono que pertenezca a la Casa Real o a alguien famoso que le apetezca mirar y que sea de Movistar, en este caso", explica.

Airear casos similares a los de Movistar o tantos otros similares sin avisar a ninguna autoridad o parte involucrada en el problema no es bueno para nadie. Ni para la empresa responsable de los ficheros, ni sobre todo para los usuarios cuya información se expone con una excepción: quien ponga precio a esos datos. "Esa información aprovechada para malas intenciones podría valer mucho dinero", asegura Lorenzo Martínez.

¿Y qué dice la legislación?

Inicio del Reglamento General de Datos de la Unión Europea.

En el caso perfecto de que una vulnerabilidad sea descubierta internamente por una empresa antes de que sea explotada, en términos legales no habría nada que hacer a priori. La cosa cambia si ese fallo ha sido explotado o conocido externamente, como ha sucedido con el de la web de Movistar. Entra en juego el Reglamento General de Protección de Datos si sucede en la Unión Europea o afecta a ciudadanos de los Estados miembros.

Pese a que desde Telefónica expliquen que "hasta el momento no se ha detectado ningún acceso fraudulento", lo cierto es que tres personas que no deberían haber accedido a las facturas de otros clientes lo han hecho, como mínimo: el usuario que descubrió la vulnerabilidad, el miembro de FACUA que recibiese el aviso y el notario que levantó acta.

Porque el RGPD define las violaciones de la seguridad de los datos personales como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".

El RGPD establece que la notificación de una brecha de seguridad relacionada con datos personales debe hacerse a la autoridad competente en un plazo máximo de 72 horas

El reglamento europeo, en aplicación desde el pasado 25 de mayo, establece la notificación de una brecha de seguridad relacionada con los datos personales a la autoridad competente en un plazo máximo de 72 horas, "a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas". La notificación deberá describir la naturaleza del problema, describir las posibles consecuencias y las medidas adoptadas para solucionarlas, entre otros datos requeridos.

Y hay más. Porque si la violación de la seguridad de los datos personales es probable que entrañe un alto riesgo para los derechos y las libertades de las personas, la comunicación debe realizarse también al interesado. Es decir, a los afectados cuyos datos hayan sido comprometidos y puedan estar en riesgo de alguna manera. Esta comunicación también contempla un plazo máximo de 72 horas a contar desde que los responsables del tratamiento de la información sean conscientes del problema de seguridad.

Incumplir la obligación de notificar este tipo de violaciones de seguridad puede acarrear multas administrativas de 10 millones de euros como máximo o, si se trata de una empresa, las sanciones pueden alcanzar una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Ver todos los comentarios en https://www.xataka.com

VER 38 Comentarios

Portada de Xataka