Réplica del colCERT a nuestra investigación sobre rutas de divulgación de vulnerabilidades de seguridad digital.

2019-12-18 Leer en voz alta

El 31 de octubre lanzamos nuestro informe Estudio sobre rutas de divulgación de vulnerabilidades de seguridad digital, en el que analizamos cuál es el estado del arte en Colombia en relación con la divulgación coordinada y responsable de vulnerabilidades digitales, fallas y violaciones a la seguridad de la información. Con el fin de impactar la política pública y generar un diálogo constructivo con las entidades gubernamentales que juegan un rol en esta temática, invitamos a representantes del Ministerio de Justicia y Derecho, del Ministerio de Defensa, del Ministerio de las Tecnologías de la Información y las Comunicaciones, de la Fiscalía General de la Nación, de la Policía Nacional, de la Dirección Nacional de Derecho de Autor, de la Delegatura de Protección de Datos y del colCert a un desayuno de trabajo. 

Ahí tuvimos la oportunidad de compartir nuestro análisis y recomendaciones. También recibimos retroalimentación y críticas por parte de quienes participaron. A petición especial del representante del colCERT, ofrecemos un espacio en nuestro blog para compartir la réplica que nos hizo llegar con el fin de aclarar algunos puntos en nuestra investigación y ofrecer mayor información sobre otros. A continuación les compartimos sus respuestas a algunos puntos abordados de nuestro informe en relación con el rol del colCERT.

La réplica del colCERT se ha condensado y resumido para mayor claridad. 

  1. Sobre el Forum of Incident Response and Security Teams (FIRST), organización mundial que reúne a los grupos de trabajo encargados de responder a incidentes de seguridad digital (CERT o CSIRT), y nuestra crítica de que el colCERT no haga parte de este foro.

Respuesta del colCERT

Si bien es cierto que al día de hoy no somos miembros del FIRST, sí estuvimos como miembros hasta octubre de 2016. Fue por temas presupuestales al interior del Ministerio de Defensa que se decidió no renovar la membresía.  

Es importante aclarar que el FIRST no es la única organización internacional que cumple con esas actividades. El Centro Coordinador de CERT de la Universidad Carnegie Mellon reconoce a colCERT como Equipo de Respuestas a Incidentes Nacional. A nivel de las Américas, el colCERT participa activamente en CSIRT Americas, cuyos pilares se enfocan en la colaboración y el intercambio de información, en proyectos técnicos y en eventos de ciberseguridad, todo esto bajo el Programa de Ciberseguridad de la OEA. 

Algunos ejemplos de actividades desarrolladas por colCERT dentro del marco de cooperación y seguridad digital:

2. Sobre nuestro crítica a la falta de actualización de las últimas alertas de seguridad digital en el sitio web del colCERT.

Respuesta del colCERT

Actualmente, publicamos cada semana en el portal web del colCERT las alertas sobre las principales vulnerabilidades compartidas por el US-CERT y el Instituto Nacional de Estándares y Tecnología (NIST o National Institute of Standards and Technologies) registradas en la Base de Datos de Vulnerabilidad Nacional (NVD).

Imagen 1: Boletín Resumen de Vulnerabilidades 

Además, todas las comunicaciones sobre alertas y vulnerabilidades que puedan afectar a la seguridad digital de Colombia las publicamos a través de nuestra cuenta oficial de Twitter  en @colCERT

3. Sobre nuestro comentario de que el colCERT cuenta con un solo botón para que cualquier persona pueda reportar vulnerabilidades e incidentes.

Respuesta del colCERT

El colCERT cuenta con tres botones para reportar:

4. Sobre nuestro llamado de atención de que el sitio web del colCERT no implementa el protocolo de transmisión segura de datos HTTPS.

Respuesta del colCERT

Si bien es cierto que el portal no tiene certificado SSL, el colCERT puede demostrar su nivel de confianza en internet a través de la implementación de buenas prácticas de seguridad a nivel de DNS como DNSSEC, DMARC Y DKIM. Es importante resaltar que el “colCERT es la única entidad de los 8264 dominios de Gobierno que tiene implementado el aseguramiento sobre DNS ‘DNSSEC’ a nivel nacional, cuya firma desde la raíz provee la más alta confiabilidad en internet y protege su autenticidad mediante criptografía de clave pública”. 

Imagen 2: Análisis DNSSE del dominio del colCERT
Imagen 2: Análisis DNSSE del dominio del colCERT

Para el año 2020, se tiene proyectado el desarrollo de un portal transaccional que permita ofrecer servicios de seguridad digital en Colombia de acuerdo a la nuevos lineamientos de gov.co. 

5. Sobre nuestra crítica de que la vinculación del colCERT al Ministerio de Defensa desincentiva el reporte de vulnerabilidades por parte de la ciudadanía.

Respuesta del colCERT

No es del todo cierto que este hecho desincentive el reporte de vulnerabilidades. Actualmente, el colCERT recibe reportes anónimos, de empresas y personas que de forma responsable reportan vulnerabilidades. También recibimos reportes de homólogos internacionales y fabricantes con los cuales tenemos una estrecha relación de cooperación. Un ejemplo fue el ejercicio que se realizó el año pasado con el aseguramiento del ECENSO. El colCERT lideró las mesas de trabajo con el DANE y las demás entidades involucradas para el aseguramiento de la plataforma. 

De otra parte, Es importante resaltar que colCERT participa de forma activa en el Comité de Seguridad Digital de la Presidencia de la República, además de participar en la construcción de las siguientes disposiciones reglamentarias:

  • Circular 007 de 2018, que dispone del reporte de incidentes al colCERT por parte de las entidades supervisada la Superintendencia Financiera de Colombia.
  • Resolución 5569 de 2018 de Comisión de Regulación de Comunicaciones, que dispone del reporte de incidentes al colCERT por parte de los operadores de internet.

Desde Karisma agradecemos esta réplica. Estamos seguras que es mediante el diálogo que se mejoran las políticas públicas y todo insumo será importante para los tomadores de decisión.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.