Hacked

Algunos de vosotros habréis notado errores o fallos en servicios web del Gobierno de España y os habréis preguntado qué hacer para solucionar el problema. El otro día vimos uno en una página web pública de administración electrónica y fuimos a avisar de la situación peligrosa a las entidades correspondientes, tal y como nos dijo la Guardia Civil: el Instituto Nacional de Ciberseguridad de España (INCIBE-CERT).

Llamamos en dos ocasiones a INCIBE-CERT para poder contrastar nuestras sospechas. Las personas que nos atendieron fueron muy amables en todo momento, pero nos dimos cuenta de que el procedimiento para reportar errores en servicios informáticos de la administración pública no está del todo claro en nuestra opinión.

Os explicamos por qué, todo sea para contribuir a la mejora del servicio y para divulgar y sensibilizar a la ciudadanía sobre temas de tecnología.

Hay vidas humanas en peligro

Vidas humanas podrían estar en peligro como consecuencia de fallos en servicios web abiertos al público en combinación con una falta de celeridad. Queremos un procedimiento claro y sencillo que indique a cualquier ciudadano cómo puede informar en situaciones de emergencia.

Hablamos de amenazas y vulnerabilidades que pueden afectar a la seguridad ciudadana en general, es decir, de cuestiones de seguridad nacional. Si deseas salvarles la vida, ¡comparte este post con tus amigos y seres queridos!

Informar sobre una vulnerabilidad en un servicio en línea de la administración pública española tendría que ser una tarea sencilla que cualquier técnico o entusiasta de las nuevas tecnologías, incluso un aficionado, debería poder hacer rápidamente desde cualquier dispositivo, ya sea un teléfono móvil, un ordenador portátil o una tableta.

Los ciudadanos españoles tienen derecho a una página informativa con pasos breves y claros a seguir para actuar rápidamente en caso de alarma, sobre todo en estado de pandemia COVID-19, aunque se trate de una sospecha bien fundamentada.

Mira lo que hace un inglés

Vamos a demostrar cómo hace esto un ciudadano británico en solo dos pasos a través de Google.

En el artículo que lleva por nombre Why Qwant is Google's main competitor in the EU explicamos la conveniencia de utilizar el buscador Qwant en lugar de Google, sobre todo si eres un ciudadano de la Unión Europea (EU), de acuerdo a la nueva estrategia de software de código abierto de la Comisión Europea. Queremos fomentar el uso de código abierto, sus principios y prácticas de desarrollo, sin embargo en los siguientes ejemplos hemos utilizado Google.

El primer paso para un inglés, pues, consistiría en buscar en Google algo así como:

report vulnerability uk government

Figura 1

Figura 1. report vulnerability uk government

Como se observa en la Figura 1, la primera SERP de Google ya muestra un enlace a la página web de reporte de vulnerabilidades del centro nacional de ciberseguridad de Reino Unido (NCSC). Solo hay que hacer clic en el primer enlace para acceder a la página que muestra la Figura 2.

Figura 2

Figura 2. Página expresamente diseñada para reportar vulnerabilidades

Esta es una página expresamente diseñada para reportar vulnerabilidades, y el mensaje que recibe el usuario entusiasta de las nuevas tecnologías al llegar aquí no puede ser más claro:

¿Cree que ha encontrado una vulnerabilidad en un servicio en línea del Gobierno del Reino Unido? Intente contactar primero con el propietario. Si no puede encontrar un punto de contacto o no recibe respuesta, puede informarnos acerca de la vulnerabilidad.

A continuación, como ves hay un botón azul que dice Report the vulnerability.

Solo hay que hacer clic en ese botón. El mensaje se entiende bien, pero si observas este párrafo con ojos de Sherlock Holmes te darás cuenta de que no contiene demasiadas palabras, 42 exactamente, lo que equivale a decir: el botón azul Report the vulnerability se ve enseguida de un vistazo.

Figura 3

Figura 3. Al hacer clic sobre el botón azul, el usuario entra en un formulario de HackerOne

Se puede decir más alto pero no más claro. Un ciudadano británico reporta vulnerabilidades a través de Internet en solo dos clics mediante HackerOne.

HackerOne es una plataforma de coordinación de vulnerabilidades que conecta a empresas con investigadores de ciberseguridad, quienes realizarán pruebas de penetración con los informes de vulnerabilidad que reciban.

El informe de vulnerabilidades de HackerOne consta de tres partes claramente diferenciadas: debilidad, gravedad (opcional) y prueba de concepto.

En la Figura 3 se muestra la primera de ellas, Debilidad, donde el usuario busca una opción de forma incremental en una cómoda lista desplegable: OWASP Top 10, control de acceso, problemas criptográficos, cualquier problema incluido en la lista de CWE, vaya.

CWE es una lista de tipos de debilidades de software y hardware desarrollada por la comunidad. Sirve como lenguaje común o convención para identificar, mitigar y prevenir esfuerzos.

Como decimos, CWE sirve para prevenir esfuerzos y reducir costes.

La búsqueda incremental es un sencillo ejercicio de memoria de reconocimiento que pueden practicar expertos de varios campos: programadores, analistas, técnicos de sistemas, incluso aficionados a la seguridad. Toda información es valiosa. Es importante destacar esta característica porque gracias a ella el ciudadano no debe esforzarse demasiado en clasificar la debilidad, se cansa menos y dedica menos tiempo a realizar su informe.

Recuerda, se trata de casos urgentes de emergencia nacional donde la rapidez y la precisión resultarán clave para salvar vidas humanas, un ser querido.

Figura 4

Figura 4. La segunda parte sirve para describir la gravedad de la situación

La segunda parte (Gravedad) es opcional, y permite informar sobre la complejidad del ataque, su alcance y confidencialidad, entre otras opciones.

Figura 5

Figura 5. La tercera parte del formulario es la prueba de concepto

Finalmente, el paso número tres del informe de vulnerabilidad de HackerOne es la prueba de concepto.

Es el más importante de todos. La prueba de concepto (PoC) es una descripción resumida de los pasos a seguir para que otra persona pueda reproducir el problema en cuestión. Una imagen vale más que mil palabras. Se recomienda adjuntar archivos que ayuden a describir qué esta sucediendo; por ejemplo, capturas de pantalla, mensajes de error obtenidos, logs, videos, etc.

¡Misión cumplida!

Como has visto el inglés realiza su informe de vulnerabilidad muy fácilmente a través de HackerOne. Tres pasos y ya está, además lo puede hacer desde cualquier dispositivo.

Hemos comprobado que los americanos también utilizan formularios web guiados que hacen el papel de asistentes para enviar sus informes de vulnerabilidad. Si os ha gustado este post podéis contactar con nosotros y en otro artículo explicaremos encantados, paso a paso, cómo informar sobre una vulnerabilidad en servicios web del Gobierno de Estados Unidos.

Lo importante en nuestra opinión es que tanto británicos como americanos utilizan un procedimiento bottom-up para que cualquier ciudadano entusiasta de las nuevas tecnologías pueda tomar sus decisiones de forma guiada en el momento de informar sobre fallos de seguridad.

Bottom-up (de abajo arriba) es una estrategia de gestión de la información que consiste en ir de lo particular a lo general.

Como hemos visto en las figuras anteriores, se sigue un asistente que ayuda a completar piezas de información específicas, predeterminadas y convencionales; por ejemplo, las CWE. El proceso es sencillo porque se basa en un ejercicio de memoria de reconocimiento.

Sin embargo un español que desee informar de una vulnerabilidad en un servicio online de la administración pública española a través de Google, probablemente aterrizará en la página web de la Política de reporte de vulnerabilidades de INCIBE-CERT.

A partir de ese momento se enfrentará al reto de solucionar un proceso top-down, o una página en blanco si lo prefieres. La persona deberá procesar un montón de información para conseguir su objetivo de ayudar a los demás. Posiblemente se sentirá desorientado y llamará al número 017 de INCIBE para que le puedan ayudar.

Nosotros lo hicimos y nos atendieron muy amablemente.

De hecho, había dos páginas web de reporte de vulnerabilidades de INCIBE y no supimos cuál utilizar en el momento de enviar nuestro informe de fallo de seguridad. La información parecía duplicada en incibe-cert.es y en incibe.es.

Gracias 017 de INCIBE-CERT, pero...

Si observas la Política de reporte de vulnerabilidades con ojos de Sherlock Holmes te darás cuenta de que contiene demasiadas palabras. No se ve de un vistazo ningún botón azul que diga Informar de vulnerabilidad. Tampoco hay un formulario que te guía en el proceso de informar a las autoridades para ayudar a los demás.

Se deja que el ciudadano gestione la información de arriba hacia abajo (top-down) justo al revés que la página web de reporte de vulnerabilidades del centro nacional de ciberseguridad de Reino Unido (bottom-up).

Al final recibimos un correo electrónico que decía lo siguiente:

Buenas tardes. Gracias por contactar con nosotros. Para reportar cualquier tipo de incidencia de seguridad puede notificarla directamente a INCIBE-CERT. Sin embargo al tratarse el organismo afectado de una administración pública, el CSIRT de referencia al que tendría que remitir la incidencia es el CCN-CERT. En el siguiente enlace dispone de más información y contacto https://www.ccn-cert.cni.es/gestion-de-incidentes/notificacion-de-incidentes.html

Agradecemos una vez más la atención que se nos presta pero lamentamos comunicar que no disponemos de más tiempo hoy. Nos tenemos que ir.

Hemos hablado con varias personas pero aquí seguimos todavía. Ahora no podemos leernos la documentación de LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) solo para informar de una vulnerabilidad tal y como lo haría un ciudadano británico.

En nuestra opinión el procedimiento para reportar errores en servicios informáticos de la administración pública se puede mejorar. Nos preguntamos, ¿cuánto dinero costaría poner un formulario como el de HackerOne en la página web de INCIBE-CERT para conectarlo a una app que gestione los informes entrantes que envían los usuarios?

También te puede interesar leer esto...

Previous Post Next Post