El archivo security.txt estandariza la forma en que los sitios web comunican sus políticas de seguridad y proporcionan información de contacto para la divulgación de vulnerabilidades. Este estándar fue propuesto por primera vez en 2017 por Edwin Foudil y ha ganado popularidad entre las organizaciones que desean mejorar su postura de seguridad y facilitar la comunicación con los que así lo necesiten.
La necesidad de un archivo security.txt es por la dificultad que a veces nos encontramos para reportar vulnerabilidades. En muchos casos, no está claro a quién debemos contactar o cómo hay hacerlo. Esto puede llevar a retrasos en la corrección de vulnerabilidades críticas y, en algunos casos, incluso a la explotación de dichas vulnerabilidades por dicha tardanza, también señalar que puede pasar que la información llege a una persona en dicha empresa que no sepa como actuar, incluso sin dejar constancia. El archivo security.txt aborda este problema proporcionando un método claro y estandarizado.
El archivo security.txt debe estar alojado en la carpeta /.well-known/ o en la carpeta raíz del sitio web. Debe ser un archivo de texto plano y preferiblemente estar alojado en sitios con certificado activo (https). Los campos que debe contener un archivo security.txt incluyen:
• Contact: Una URL o dirección de correo electrónico para contactar.
• Expires: La fecha de caducidad de las políticas de seguridad.
• Encryption: Un enlace a una clave PGP para facilitar comunicaciones privadas.
• Acknowledgments: Un enlace a una página de agradecimientos a los que ayudaron proporcionando información para mejorar la seguridad.
• Preferred-Languages: Los idiomas preferidos para las comunicaciones.
• Canonical: El enlace permanente del archivo security.txt.
• Policy: Un enlace a una política detallada sobre cómo se deben reportar los problemas de seguridad.
• Hiring: Un enlace a ofertas de trabajo relacionadas con la ciberseguridad de dicha empresa.
El archivo security.txt ha sido implementado por grandes compañías como Google, Facebook, GitHub, y gobiernos como el del Reino Unido, Francia, Italia, y Australia. Además, es respaldado por agencias de seguridad como la Cybersecurity and Infrastructure Security Agency (CISA) de EE.UU. La adopción de este estándar por parte de estas entidades subraya su importancia y que realmente cumple su cometido.
Señalar que la CISA (Cybersecurity and Infrastructure Security Agency) de EE.UU. ha incluido la creación de un archivo security.txt como una de las metas prioritarias de rendimiento en ciberseguridad. La CISA lanzó el programa piloto de advertencia de vulnerabilidades de ransomware (RVWP) para descubrir y notificar a las organizaciones sobre su exposición a vulnerabilidades accesibles por internet utilizadas en ataques de ransomware. Este programa permite a las organizaciones tomar medidas de mitigación tempranas antes de que ocurra un incidente. Sin embargo, el proceso de notificación actual puede verse obstaculizado por la incapacidad de encontrar a alguien para notificar oficialmente, ya que no todos tienen dicho acceso. Según un estudio reciente, solo alrededor del 0.5% de los sitios web más importantes del mundo publican un archivo security.txt. La falta de este simple archivo lleva a múltiples correos electrónicos y llamadas telefónicas a la organización, retrasando el proceso de notificación y la conciencia de la organización sobre la necesidad crítica de mitigar su riesgo de ransomware.
El archivo security.txt es similar al archivo robots.txt, que se utiliza para indicar a los motores de búsqueda qué páginas deben o no deben rastrear en un sitio web. Al igual que robots.txt, el archivo security.txt es legible por máquinas y reside en un servidor web de cara al público, ya sea en el directorio raíz o en el directorio /.well-known/. Cada dominio y subdominio dentro de la red de una entidad debe tener su propio archivo security.txt.
La implementación de un archivo security.txt no solo facilita la comunicación, sino que también demuestra el compromiso de una organización con la seguridad y la transparencia. Al proporcionar un método estandarizado para la divulgación de vulnerabilidades, las organizaciones pueden reducir el tiempo de respuesta a incidentes de seguridad y mejorar su capacidad para protegerse.
Recordad, que el archivo security.txt puede incluir información adicional que sea relevante para la seguridad del sitio web, como enumere anteriormente, lo que facilita a los hackers y usuarios encontrar la información que necesitan.
Es una herramienta que no puede faltar, gracias a la adopción por parte de grandes compañías y gobiernos, se espera que en el largo plazo haga de ello un verdadero estándar que siempre este presente ¿Sabes dónde aun no este presente?
#Security #CyberSecurity #WebSecurity #InfoSec #VulnerabilityManagement #DataProtection #TechInnovation #CyberAwareness #OnlineSafety #SecurityStandards #TechNews #DigitalSecurity #SecurityBestPractices #CyberSec #SecurityPolicy #TechUpdates #SecurityCommunity #CyberProtection #SecurityInnovation #SecurityLeadership