top of page
Search
  • Writer's pictureCybermonk

Ética y análisis de seguridad

Muchas veces hemos leído en discusiones de Internet sobre vulnerabilidades públicas y aquellas descubiertas por expertos y notificadas a los propietarios o responsables de aplicaciones o negocio.



Es una realidad que vivimos en un mundo donde el concepto de propiedad es constantemente vulnerado y cuando las medidas de seguridad no existen, es necesario destacar cuando existe este tipo de problemas, y protegernos, pero también es cierto que muchas veces los análisis independientes de este tipo de situaciones involucra la vulneración de la privacidad de los propietarios.

Muchas veces hemos leído en discusiones de Internet sobre vulnerabilidades públicas y aquellas descubiertas por expertos y notificadas a los propietarios o responsables de aplicaciones o negocio.


El hacker que descubre una vulnerabilidad sobre una aplicación pública, la notifica, y al no recibir respuesta, posteriormente la difunde, lamentablemente incurre en una falta ética que tal vez se puede ilustrar con una analogía muy simple: Voy caminando por la calle, veo una reja con un candado mal cerrado. Me doy cuenta de que hay un problema de seguridad física con esa propiedad y puedo tomar varias acciones para reparar el problema de seguridad:


1) Tomo el candado y lo dejo dentro de la propiedad, para que los dueños se enteren de su problema de seguridad.

2) Escribo una nota y la dejo dentro de la propiedad, exponiendo con esto el problema y cómo posteriormente podría solucionarlo.

3) Cierro el candado para evitar cualquier problema de seguridad posterior, y evito que alguien entre a la propiedad.

4) Me asomo para ver si están los propietarios, y notificarles del problema. Si no hay nadie en la propiedad, simplemente sigo mi camino.


Dentro de todas las posibilidades disponibles, las primeras tres sugieren que quien se da cuenta del problema de seguridad tiene una inquietud por resolver dicho problema, ya sea por el deseo de ayudar, la preocupación por los propietarios, o tal vez simplemente un deseo de demostrar las habilidades de reconocer situaciones de riesgo, y la solución técnica a estos riesgos.


Un dilema ético


Es una realidad que vivimos en un mundo donde el concepto de propiedad es constantemente vulnerado y cuando las medidas de seguridad no existen, es necesario destacar cuando existe este tipo de problemas, y protegernos, pero también es cierto que muchas veces los análisis independientes de este tipo de situaciones involucra la vulneración de la privacidad de los propietarios.

Es así como en los casos 1) y 2), el vigilante, ingresa a una propiedad sin autorización de su dueño, en el caso 3) es posible que provoque que los propietarios legítimos no puedan ingresar a la propiedad y en el caso 4) el problema quede sin solución.

Estas mismas situaciones ocurren en el mundo digital, donde las aplicaciones están a merced de cualquier interacción benigna o maliciosa y son susceptibles a intrusiones.


Si aplicamos solamente el concepto de propiedad a la analogía, entenderemos que, aunque nuestra intuición nos dice que debemos notificar de situaciones de riesgo, el solo conocimiento de la situación no nos habilita para vulnerar la privacidad de los dueños.


Esta situación básica muchas veces es ignorada a nivel digital, dado el anonimato que permiten las actuales herramientas técnicas y los escasos medios de seguridad disponibles para prevenir estos hechos.

El análisis de este tipo de hechos solamente en la esfera digital típicamente ha permitido que se obvie las vulneraciones de seguridad en las cuales incurre un análisis independiente.


Siempre que vayamos a realizar este tipo de análisis es conveniente preguntarnos:


¿Será una necesidad del propietario de la aplicación el análisis de seguridad que voy a ejecutar?

¿Estoy vulnerando los derechos del propietario de la aplicación bajo análisis?

¿Está enterado el dueño de la aplicación del análisis o las pruebas que voy a ejecutar?

¿Estoy consciente de las consecuencias del análisis de seguridad sobre la aplicación que voy a ejecutar?.

18 views0 comments

Comments


bottom of page