El día de ayer 4 de Abril de 2023, se votaron 185 indicaciones del proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, dentro de ellas tomó una gran importancia aquella referida al “Hacking ético “en donde se dejó claro cual importante es para mejorar los estándares de ciberseguridad de Chile. 

Según las indicaciones mencionadas, no será penalizado el hecho de realizar labores de investigación en seguridad de la información siempre que se cumplan los siguientes requisitos:

1. Haber reportado el acceso y las vulnerabilidades en su investigación al responsable de las redes o sistemas informáticos afectados en forma inmediata y a más tardar en el momento en que alerte a la Agencia Nacional de Ciberseguridad
2. Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia Nacional de Ciberseguridad
3. Que el acceso no haya sido realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático ni con intención fraudulenta, tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizados métodos que pudieran conducir a denegación de servicio a pruebas físicas utilizando utilización de código malicioso, ingeniería social y alteración eliminación exfiltración o destrucción de data
4. No haber divulgado públicamente la información relativa a la potencial vulnerabilidad tampoco será objeto de sanción penal la persona que comunique a la agencia información sobre una vulnerabilidad potencial de la que haya tomado conocimiento en su contexto laboral o con ocasión de la prestación de sus servicios, ni se considerará que hayan cumplido con ello su obligación de secreto profesional.
   
   Pero analicemos cada uno de los puntos:
   

“Haber reportado el acceso y las vulnerabilidades en su investigación al responsable de las redes o sistemas informáticos afectados en forma inmediata y a más tardar en el momento en que alerte a la Agencia Nacional de Ciberseguridad”

Si bien el hecho de reportar vulnerabilidades es algo intrínseco ya en el servicio que provee el CSIRT del Ministerio del interior (https://www.csirt.gob.cl), no muchas organizaciones y empresas de nuestro país están al tanto de cómo deben recibir un incidente de seguridad ni cómo manejar un reporte de una vulnerabilidad informática como tal. En este sentido, muchas empresas y organizaciones toman una postura hostil cuando son informadas de vulnerabilidades o incidentes de seguridad de sus sistemas, muchas veces, temerosas a que puedan ser víctimas de extorsión de algún tipo.

Creemos que para que el hecho de reportar vulnerabilidades ocurra de manera correcta, las instituciones en Chile deberían tener un canal público para recibir dichos reportes de vulnerabilidades y más aún, deberían tener un procedimiento para saber como manejar este tipo de eventos de tal manera de satisfacer a quien reporta y de cumplir con una debida diligencia en la gestión de la vulnerabilidad.

Muchas veces dar con los responsables de ciberseguridad, seguridad de la información o encargados de tecnologías con el fin de reportar vulnerabilidades conlleva un proceso de investigación “OSINT” que nunca es bien recibido, es por ello, que creemos que debiesen considerarse en este punto los procedimientos y procesos que las instituciones deberían abordar para ello.

“Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia Nacional de Ciberseguridad”

Es necesario contar con el proceso de comunicación responsable y que este sea conocido por las instituciones y que de alguna forma se adhieran a él, de esta forma, el reporte de vulnerabilidades será estandarizado y normado para una mejor gestión.

“Que el acceso no haya sido realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático ni con intención fraudulenta, tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizados métodos que pudieran conducir a denegación de servicio a pruebas físicas utilizando utilización de código malicioso, ingeniería social y alteración eliminación exfiltración o destrucción de data”

Si bien, este punto depende de la ética y la moral del perpetrador, muchas veces para comprobar una vulnerabilidad es necesario realizar pruebas de toda índole, es importante considerar que eventualmente (y dependerá del grado de ciberseguridad de la organización), podría existir destrucción de los sistemas e información. Por otra parte, también es necesario considerar que si un “Hacker ético” pudo explotar una vulnerabilidad perjudicando un sistema, un “hacker” no tendrá dicha consideración y simplemente utilizará dicha vulnerabilidad para beneficio propio dañando aún más la organización.

No haber divulgado públicamente la información relativa a la potencial vulnerabilidad tampoco será objeto de sanción penal la persona que comunique a la agencia información sobre una vulnerabilidad potencial de la que haya tomado conocimiento en su contexto laboral o con ocasión de la prestación de sus servicios, ni se considerará que hayan cumplido con ello su obligación de secreto profesional.

Además de no haber divulgado públicamente una vulnerabilidad (que debiese ocurrir siempre), muchas empresas cuentan con políticas de acuerdos de no divulgación (NDA) internos que ya consideran el reporte de vulnerabilidades e incidentes de seguridad, pero siempre, en el contexto intra-empresarial, es importante considerar ello para hacer un trabajo eficaz en el reporte de vulnerabilidades y la respectiva gestión de ellas.

Analizando los puntos anteriores, aún vemos que quedan mucho por avanzar con respecto a la regulación del Hacking Ético, pero es un excelente comienzo. En este sentido, nos gustaría ver aplicaciones prácticas y la promoción de políticas relacionadas con mejorar la ciberseguridad de nuestra nación, entre ellas:

• Obligar a las empresas (todas) a reportar sus vulnerabilidades a un coordinador central de ciberseguridad o al CSIRT y gestionar debidamente dichos reportes.
• Promover la creación de plataformas de BugBounty local
• Establecer una “línea base” de seguridad mínima. Con políticas, procedimientos y controles para las distintas verticales de empresas de nuestro país.
• Exigir que la ciberseguridad y la seguridad de la información, sea una transversal a toda la organización en todas las empresas e instituciones (público y privadas).
• Crear un Ranking de aquellas vulnerabilidades más comunes reportadas con el objeto de saber taxonomía, alcance, impacto y vectores y ayudar a otras organizaciones e instituciones a protegerse proactivamente.
• Crear información de amenazas y detección de estas (indicadores de compromisos, TTP y otros), de manera centralizada a fin de que Chile pueda tener un repositorio central de amenazas y este pueda alimentar las plataformas de ciberseguridad de cualquier organismo a nivel nacional de manera automatizada. Existen implementaciones ya a nivel privado utilizando tecnologías como MISP u otras públicas como OTX. Chile se beneficiaría mucho de un almacén focalizado y centralizado de amenazas locales.

En nuestra experiencia, para que la gestión de vulnerabilidades e incidentes de seguridad sea realmente efectiva, debiese existir dentro de las organizaciones políticas que informen debidamente que hacer frente a la detección de una vulnerabilidad y/o incidente de seguridad así también deberían existir procesos y procedimientos de gestión de vulnerabilidades que ayuden a controlar y mitigar dichas vulnerabilidades, finalmente, todas aquellas debilidades que poseen nuestros activos de información deben ser detectadas e informadas debidamente y dichos reportes nunca deben ser considerados como un “ataque” a la mala o pobre gestión que hacen las empresas para con su ciberseguridad, sino que, siempre deben ser recibidas como una gran oportunidad de mejora considerando que si un “Hacker” hubiese hecho uso de la vulnerabilidad, la historia sería muy diferente y las incomodidades generadas serían mucho mayores.

Escrito por : Rodrigo Gonzalez

Gerente de Ciberseguridad