Introducción

En este artículo hablaremos sobre cómo reportar fallos encontrados en entornos que están fuera de cualquier programa de recompensas. Este tema causa bastantes dudas entre la comunidad de InfoSec y es por ello que he decidido preguntar a varios usuarios del sector para resolver este dilema. Cabe destacar que este asunto depende de la legislación local de cada país y en nuestro caso nos centraremos en España.

Día a día de un researcher

El problema surge cuando tenemos una puerta entreabierta pero tenemos que ir y abrirla del todo para confirmar si de verdad estaba abierta

Hay muchas personas que les impone respeto o les da miedo el hecho de que puedan llegar a denunciarles por reportar fallos fuera de un Bug Bounty y esto es completamente normal. La realidad es que todo depende de las ganas que tenga uno de meterse en problemas. En estas situaciones puedes encontrarte desde un administrador que lo pueda entender hasta una empresa que denuncie los hechos.

¿Realmente merece la pena jugarse el pescuezo haciendo estas cosas? Son diferentes las opciones con las que contamos a la hora de pensar si reportar.

No reportar

Esta es lógicamente la elección más recomendable y prudente. Si se elige reportar fallos, la empresa podría denunciar al investigador de seguridad por no contar con consentimiento explícito para auditar su infraestructura. El investigador de seguridad podría ser acusado de difamación, amenaza, chantaje, extorsión, etc. Es difícil diferenciar una persona con buenas intenciones de otra con malas. Si no te piden que lo hagas, mejor no hacerlo.

Reportar anónimamente de forma altruista

En primer lugar, esta opción consiste en reportar el fallo sin exponerte, tomando las medidas de seguridad oportunas. Esto se refiere a montar un buen OPSEC para que no te rastreen:

  • Ocultar tu dirección MAC
  • Ocultar tu dirección IP mediante VPN y Tor
  • Utilizar un email seguro como TorMail / ProtonMail / RiseUp o un email temporal

De esta forma, en caso de que decidan denunciar, se evitarán posibles represalias. Hay que tener en cuenta que, si otra persona ha explotado el bug, ha robado datos, destruido información o cualquier otra cosa, el principal sospechoso será el researcher.

En segundo lugar, hay que tener muy claro que de esta forma nunca se debería mencionar el dinero porque NO se obtendrá ninguna compensación a cambio. En estos casos, nuestra mentalidad tiene que ser positiva, pensando que hemos adquirido experiencia, conocimientos y que se ha contribuido por un Internet mejor.

Adicionalmente, podríamos garantizar que no se hará pública la vulnerabilidad y pedir a cambio a la empresa una conformidad en no tomar medidas legales.

Los centros de repuesta ante incidentes (CERTS) como el del CCN o INCIBE permiten notificar este tipo de incidencias:

Si se busca presentar la vulnerabilidad públicamente, como por ejemplo en algún congreso de seguridad informática, podemos acudir al EFF (https://www.eff.org/es/pages/legal-assistance), que consiste en una asesoría legal para el proceso de reporte de vulnerabilidades, esta fundación puede asesorar incluso una vez que se tenga algún problema relacionado con el fallo de seguridad encontrado.

Reportar directamente si NO hemos entrado hasta la cocina

Esta es otra alternativa que puede ser muy interesante cuando hemos encontrado un fallo que no es intrusivo, es decir, que por ejemplo no nos hemos dado un paseo por la base de datos. Cuando son cosas obvias que no requieren pruebas y se puede evidenciar que no se ha tocado el sistema, como una XSS o una página que da un error mostrando el directorio donde está instalado el software (también conocido como Stack Trace). De ser así, no deberíamos tener ningún problema al reportar porque no se trata de perder información sobre clientes o proyectos.

La plataforma Open Bug Bounty y el formulario de colaboración de Delitos Telemáticos de la Guardia Civil (https://www.gdt.guardiacivil.es/webgdt/colabora.php) nos permiten reportar de esta forma.

Reportar directamente si hemos entrado hasta la cocina

Esta elección es seguramente la más peligrosa de todas y puede conducir a denuncias. Si se ha hecho más ruido del debido y la empresa tiene un Blue Team o un administrador de sistemas, podrían revisar los logs, y si no se ha sido precavido con la parte de anonimato, tendrían evidencias claras de la intrusión. La empresa tendría toda la razón del mundo en denunciar porque en ningún momento se ha firmado un contrato con ellos para ponerse a husmear sus activos.

Normalmente, cuando somos intrusivos, accedemos a información clasificada de la empresa y ya no es tan sencillo dar una explicación de cómo se ha llegado hasta ahí. Además, si se ha robado información, reportar es una muy mala idea porque informáticos forenses podrían ver si se ha aprovechado algo de la intrusión.

También se puede contratar un abogado, pero esto sería mucho más costoso y probablemente no interese.

Recomendaciones a la hora de reportar

Independientemente del método que se elija para reportar, hay que tener en cuenta la siguiente lista de consejos:

  • Verificar si tienen algún apartado referente a errores (emails, security.txt) o algún departamento de perfil técnico / área de seguridad
  • Otra opción sería enviar un primer reporte de manera esbozada para ver si la empresa quiere colaborar con nosotros
  • Comunicarse lo mejor posible
  • No tener malas actitudes: Ser respetuoso, humilde y formal
  • Nunca se debe obligar a la empresa a ofrecer una recompensa económica a cambio de fallos de seguridad. Si deciden agradecértelo será una cosa exclusiva de ellos y en caso de que salga bien podrías obtener gratificaciones económicas, swags, ser agregado al Hall Of Fame, ofertas laborales (sobretodo en empresas extranjeras), etc.
  • Al reportar directamente se podría mencionar que cualquier recompensa es bien recibida pero que no es obligatorio en absoluto, aunque motivaría a seguir buscando vulnerabilidades
  • Explicar que trabajas como investigador de seguridad
  • Dejar claro que no tienes una mala intención y que encontraste los fallos usando sus aplicaciones como un usuario normal o cliente
  • Acompañar el reporte de evidencias y pruebas de concepto (PoCs) para que puedan reproducir los pasos para explotar la vulnerabilidad
  • Otra opción es buscar una persona para que reporte el fallo, lo ideal sería que sea reconocida en el mundo de la ciberseguridad y tenga contactos porque es más probable que reciba una mayor atención que al tratarse de un anónimo

Conclusión

Como hemos visto en este artículo, este tema es como echar una moneda al aire, tenemos la posibilidad de obtener dos caras:

  1. Notificar y seguramente recibir las gracias
  2. Que se interponga una denuncia

Por último, quería agradecer a todas las personas que han colaborado conmigo para hacer este post posible. Muchas gracias y espero que os haya parecido interesante. ¡Happy Hacking!

¿Me ayudas a compartirlo?
Última modificación: 12 junio 2020

Autor

Comentarios

Estoy exactamente en esta interrogante.. muy buena explicación, suerte!

Comenta o responde a los comentarios

Tu dirección de correo no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.