Sr. Director:

La filial chilena de la empresa suiza consultora en seguridad de la información Dreamlab Technologies, de amplia experiencia en el rubro, publicó su evaluación de la aplicación móvil de seguridad comunitaria SOSAFE, revelando, entre otras, una vulnerabilidad que catalogaron de “crítica”, la que expondría la privacidad de sus usuarios.

La evaluación independiente de las medidas de seguridad presentes en productos y servicios es de vital importancia para un desarrollo que merezca confianza pública, siendo el reporte de vulnerabilidades una parte crucial del proceso; buscándose, en última instancia, prevenir potenciales daños a usuarios y partes involucradas, ya sea por explotación maliciosa, errores y/o negligencias.

El oficio de “hackeo ético”, realizado profesionalmente, busca salvaguardar de estos potenciales perjuicios a usuarios inocentes mediante la indagación de las vulnerabilidades presentes en los sistemas. Por ello, en caso de encontrarlas, se resguarda la “publicación responsable”, consistente en advertir los detalles, en primera instancia, al fabricante, otorgándole un plazo razonable para su corrección y despliegue, protegiendo así a los usuarios de los usos maliciosos que se podría hacer en su contra con ese conocimiento una vez publicado.

Desde SOSAFE alegan no haber sido advertidos en forma previa a la publicación, enterándose de la urgencia a través de los medios de comunicación, a quienes Dreamlab declara haber recurrido tras haber contactado al CSIRT del Ministerio del Interior, de quienes no habrían obtenido respuesta. Interpelados al respecto, la consultora no entrega evidencia de haber contactado oportunamente al fabricante. ¿Qué habría pasado si un delincuente, advertido del problema, hubiese aprovechado la “ventana de exposición” para determinar un domicilio sin moradores? ¿En qué pie queda la protección del usuario inocente ante tal publicación adelantada? ¿Cuáles son los límites éticos del marketing?

Salvando las debidas responsabilidades pertinentes al fabricante y a la institucionalidad pública, el recurso de la publicitación mediática debiera ser la última herramienta a la cual recurrir en caso de desidia, pues se expone a los usuarios. Existen propuestas de códigos de ética, como el de (ISC)2, cuya adscripción en serio previene ante ello al normar la prevalencia de la protección de la sociedad, el bien común y la confianza pública, así como la responsabilidad en los actos. Considerando su experiencia en el rubro, al no exhibir evidencia de notificación oportuna, el valor ético de la publicación realizada por Dreamlab Technologies deja amplio espacio para la
perfectibilidad.

Referencias:

– (ISC)² Code Of Ethics, International Info System Security
Certification Consortium:
https://www.isc2.org/ethics/

– Oficiales del capítulo chileno del (ISC)2. Gabriel Bergel fue el
presidente anterior:
http://www.isc2chile.cl/index.php/oficiales

– Declaración de Dreamlab Technologies sobre controversia por SOSAFE:
https://www.linkedin.com/feed/update/urn:li:activity:6363804173565206528/

Atentamente