El 31 de octubre lanzamos nuestro informe Estudio sobre rutas de divulgación de vulnerabilidades de seguridad digital, en el que analizamos cuál es el estado del arte en Colombia en relación con la divulgación coordinada y responsable de vulnerabilidades digitales, fallas y violaciones a la seguridad de la información. Con el fin de impactar la política pública y generar un diálogo constructivo con las entidades gubernamentales que juegan un rol en esta temática, invitamos a representantes del Ministerio de Justicia y Derecho, del Ministerio de Defensa, del Ministerio de las Tecnologías de la Información y las Comunicaciones, de la Fiscalía General de la Nación, de la Policía Nacional, de la Dirección Nacional de Derecho de Autor, de la Delegatura de Protección de Datos y del colCert a un desayuno de trabajo.
Ahí tuvimos la oportunidad de compartir nuestro análisis y recomendaciones. También recibimos retroalimentación y críticas por parte de quienes participaron. A petición especial del representante del colCERT, ofrecemos un espacio en nuestro blog para compartir la réplica que nos hizo llegar con el fin de aclarar algunos puntos en nuestra investigación y ofrecer mayor información sobre otros. A continuación les compartimos sus respuestas a algunos puntos abordados de nuestro informe en relación con el rol del colCERT.
La réplica del colCERT se ha condensado y resumido para mayor claridad.
- Sobre el Forum of Incident Response and Security Teams (FIRST), organización mundial que reúne a los grupos de trabajo encargados de responder a incidentes de seguridad digital (CERT o CSIRT), y nuestra crítica de que el colCERT no haga parte de este foro.
Respuesta del colCERT
Si bien es cierto que al día de hoy no somos miembros del FIRST, sí estuvimos como miembros hasta octubre de 2016. Fue por temas presupuestales al interior del Ministerio de Defensa que se decidió no renovar la membresía.
Es importante aclarar que el FIRST no es la única organización internacional que cumple con esas actividades. El Centro Coordinador de CERT de la Universidad Carnegie Mellon reconoce a colCERT como Equipo de Respuestas a Incidentes Nacional. A nivel de las Américas, el colCERT participa activamente en CSIRT Americas, cuyos pilares se enfocan en la colaboración y el intercambio de información, en proyectos técnicos y en eventos de ciberseguridad, todo esto bajo el Programa de Ciberseguridad de la OEA.
Algunos ejemplos de actividades desarrolladas por colCERT dentro del marco de cooperación y seguridad digital:
2. Sobre nuestro crítica a la falta de actualización de las últimas alertas de seguridad digital en el sitio web del colCERT.
Respuesta del colCERT
Actualmente, publicamos cada semana en el portal web del colCERT las alertas sobre las principales vulnerabilidades compartidas por el US-CERT y el Instituto Nacional de Estándares y Tecnología (NIST o National Institute of Standards and Technologies) registradas en la Base de Datos de Vulnerabilidad Nacional (NVD).
Además, todas las comunicaciones sobre alertas y vulnerabilidades que puedan afectar a la seguridad digital de Colombia las publicamos a través de nuestra cuenta oficial de Twitter en @colCERT.
3. Sobre nuestro comentario de que el colCERT cuenta con un solo botón para que cualquier persona pueda reportar vulnerabilidades e incidentes.
Respuesta del colCERT
El colCERT cuenta con tres botones para reportar:
- Phishing.
- Incidentes o vulnerabilidades, que se trabajó de forma distinta a como lo hacen los CERT a nivel internacional, es decir, publicamos una plantilla básica que deberá responderse cuando se envía el reporte de un incidente de acuerdo a una taxonomía definida previamente para la clasificación de los incidentes.
- Información sobre ciberdelitos.
4. Sobre nuestro llamado de atención de que el sitio web del colCERT no implementa el protocolo de transmisión segura de datos HTTPS.
Respuesta del colCERT
Si bien es cierto que el portal no tiene certificado SSL, el colCERT puede demostrar su nivel de confianza en internet a través de la implementación de buenas prácticas de seguridad a nivel de DNS como DNSSEC, DMARC Y DKIM. Es importante resaltar que el “colCERT es la única entidad de los 8264 dominios de Gobierno que tiene implementado el aseguramiento sobre DNS ‘DNSSEC’ a nivel nacional, cuya firma desde la raíz provee la más alta confiabilidad en internet y protege su autenticidad mediante criptografía de clave pública”.
Para el año 2020, se tiene proyectado el desarrollo de un portal transaccional que permita ofrecer servicios de seguridad digital en Colombia de acuerdo a la nuevos lineamientos de gov.co.
5. Sobre nuestra crítica de que la vinculación del colCERT al Ministerio de Defensa desincentiva el reporte de vulnerabilidades por parte de la ciudadanía.
Respuesta del colCERT
No es del todo cierto que este hecho desincentive el reporte de vulnerabilidades. Actualmente, el colCERT recibe reportes anónimos, de empresas y personas que de forma responsable reportan vulnerabilidades. También recibimos reportes de homólogos internacionales y fabricantes con los cuales tenemos una estrecha relación de cooperación. Un ejemplo fue el ejercicio que se realizó el año pasado con el aseguramiento del ECENSO. El colCERT lideró las mesas de trabajo con el DANE y las demás entidades involucradas para el aseguramiento de la plataforma.
De otra parte, Es importante resaltar que colCERT participa de forma activa en el Comité de Seguridad Digital de la Presidencia de la República, además de participar en la construcción de las siguientes disposiciones reglamentarias:
- Circular 007 de 2018, que dispone del reporte de incidentes al colCERT por parte de las entidades supervisada la Superintendencia Financiera de Colombia.
- Resolución 5569 de 2018 de Comisión de Regulación de Comunicaciones, que dispone del reporte de incidentes al colCERT por parte de los operadores de internet.
Desde Karisma agradecemos esta réplica. Estamos seguras que es mediante el diálogo que se mejoran las políticas públicas y todo insumo será importante para los tomadores de decisión.
Relacionados
Protegido: El Informe Special 301: Discusiones sobre el Interés Público y la Propiedad Intelectual
No hay extracto porque es una entrada protegida.
Crónicas de un encuentro regional: tejiendo un futuro digital inclusivo y participativo para América Latina y el Caribe.
En la primera semana de noviembre del 2024 nos embarcamos en un viaje para participar en los foros de gobernanza de internet: Youth LACIGF y LACIGF en Santiago de Chile.