Escaneo de Vulnerabilidades de Sitios Web

servicio-EP

El análisis de vulnerabilidades consiste en una revisión de sus sitios web en busca de errores de software conocidos, a través de herramientas automatizadas. El producto final son dos reportes:

  1. Un reporte preliminar, obtenido a través de herramientas automáticas, que detalla las vulnerabilidades encontradas y entrega recomendaciones para mitigarlas, pero que no ha sido confirmado por un analista. Este reporte demora unas 24 horas hábiles después del escaneo.
  2. Un reporte final, chequeado por un analista, en el cual se han eliminado los posibles falsos positivos y se han priorizado los hallazgos por su gravedad. Este reporte toma un máximo de 7 días hábiles luego de ser enviado el reporte preliminar, pero en general no demora más de 3 días.

El chequeo se puede realizar a cualquier sitio web expuesto en Internet, independientemente de si el servicio público que lo solicita está o no dentro de la Red de Conectividad del Estado. No podemos garantizar la realización de los escaneos en una fecha u hora determinadas.

El servicio debe ser solicitado llenando el siguiente formulario en línea: https://formularios.csirt.gob.cl/index.php/954521

Guía para la solicitud de del Servicio de Escaneo de Vulnerabilidades

¿En qué consiste?

El CSIRT de Gobierno ofrece a los organismos de la administración del Estado un servicio de escaneo de vulnerabilidades sobre sus activos expuestos a Internet. Así, las instituciones del Estado pueden solicitar que el CSIRT chequee sus sitios web, direcciones IP y URL públicas en busca de vulnerabilidades, entregando como producto final a los solicitantes un documento que detalla las vulnerabilidades encontradas y explicando los pasos fundamentales a tomar para mitigarlas.  

¿Quién puede acceder al servicio?

Este servicio es exclusivo para servicios públicos, se realiza a petición, y se planifica de acuerdo con la demanda del momento. Sus resultados son confidenciales y son entregados sólo a la persona que solicitó el documento, o a una respectiva autoridad de la organización luego de verificada su identidad. La información solicitada y su tratamiento están sujetos a la Política de Privacidad del CSIRT, y a los Términos del Servicio de Escaneo de Vulnerabilidades, publicados en el sitio web del CSIRT (https://csirt.gob.cl).

Como CSIRT de Gobierno no garantizamos una fecha de realización del escaneo ni de entrega de sus posteriores reportes. Nos reservamos el derecho de priorizar el escaneo de servicios específicos y de suspender temporalmente el servicio de escaneo.

¿En qué consiste un escaneo de vulnerabilidades?

Vulnerabilidades, en el contexto de la ciberseguridad, son errores que existen en todos los programas informáticos, y que en algunos casos pueden posibilitar ciberataques y poner en riesgo la confidencialidad, integridad o disponibilidad de los datos que estos programas manejan. Por eso, identificar y reparar a tiempo vulnerabilidades de alto riesgo es indispensable para mantener la seguridad de nuestros activos digitales.

Por lo anterior es que ofrecemos este servicio de escaneo de vulnerabilidades, un proceso automatizado de identificación y evaluación de estas debilidades en sistemas informáticos, redes y aplicaciones. Su objetivo es descubrir vulnerabilidades que sean puntos de entrada para ciberataques, entregando los antecedentes necesarios a los encargados de ciberseguridad para aplicar las medidas correctivas correspondientes y evitar así potenciales ataques.

¿Por qué conviene solicitar el escaneo de vulnerabilidades?

El servicio de escaneo no es invasivo y genera una carga mínima para servidores y sistemas.

Realizar estos escaneos permitirá impedir ataques que explotando vulnerabilidades que no habían sido remediadas habría podido causar estragos en los sistemas de una organización. 

Asimismo, un escaneo rutinario permite el cumplimiento normativo con diversos deberes y obligaciones de los organismos y empresas del Estado respecto de la ciberseguridad. Por ejemplo:

  1. Ley N° 21.459 de 2022, que establece normas sobre delitos informáticos. 
  2. D.S. N°83 de 2005 y el D.S. N°1 de 2015 para el fortalecimiento de la ciberseguridad (ambos del Ministerio Secretaría General de la Presidencia).
  3. D.S. N°273 de 2022 (del Ministerio del Interior y Seguridad Pública), artículo 4°, sobre “búsqueda preventiva de vulnerabilidades”.
  4. Finalmente, el CSIRT de Gobierno está disponible para apoyar la labor de diagnóstico inicial del estado de ciberseguridad de las plataformas electrónicas de los Órganos de la Administración del Estado, cuya obligación está establecida en el Decreto Supremo N°7 de 2023 (Ministerio Secretaría General de la Presidencia), artículo 4°.

Este servicio es un complemento a las medidas de seguridad que cada organización debe tomar, y no reemplaza a estas medidas. Un enfoque integral de ciberseguridad también debe incluir medidas como aplicación regular de actualizaciones, políticas de acceso y capacitación de usuarios, entre otras.

¿Cómo solicitar el servicio?

Para solicitar un servicio de escaneo de vulnerabilidades se deben seguir las siguientes etapas:

  1. Realizar la solicitud de Servicio de Escaneo de Vulnerabilidades se debe llenar el formulario al que se accede en el sitio https://formularios.csirt.gob.cl/index.php/954521?lang=es-CL.
  2. Se debe consentir con los términos del servicio, y luego ingresar datos de identificación y contacto del solicitante, incluyendo una dirección de email de una cuenta institucional.
  3. Luego es necesario informar URL, IP y credenciales.
  4. Como respuesta, la persona indicada en el formulario recibirá un email con un número de ticket, que le permitirá identificar su solicitud durante la prestación del servicio.

¿Qué ocurre tras la ejecución del escaneo?

Informe preliminar de resultados: Luego de la ejecución del escaneo, enviaremos a la institución los datos preliminares detectados por nuestras herramientas automatizadas. Esta información corresponde a un análisis rápido de la situación que no ha sido verificada aún por nuestro equipo técnico, por lo tanto, recomendamos esperar la entrega de los resultados definitivos antes de tomar cualquier acción. 

El objetivo de esta entrega preliminar es alertar pronto sobre los problemas potencialmente más serios detectados durante el escaneo.

No podemos comprometer un plazo para la entrega de estos datos preliminares, pero en general, este proceso inicial no suele tardar más de un par de días.

¿En qué consiste el informe final?

Informe final de resultados: En esta etapa del proceso, un analista valida cada uno de los hallazgos reportados y descarta aquellos que puedan corresponder a falsos positivos; entregando como producto final del análisis un informe que incluye para cada vulnerabilidad detectada, la descripción de la misma, los activos involucrados por cada vulnerabilidad, y la recomendación respectiva para mitigarla.

No podemos comprometer un plazo para el informe final. Si la información requerida es urgente, nos comunicaremos con la organización y priorizaremos su entrega antes de la entrega del informe final.

La información en los reportes de escaneos es confidencial, y será entregada sólo a la persona que solicitó el documento, o a una autoridad de la organización luego de verificada su identidad. Por lo mismo, tienen el nivel de confidencialidad calificado como TLP: Rojo, según el protocolo TLP (“traffic light protocol”, protocolo del semáforo). Más información sobre el TLP: https://www.csirt.gob.cl/recomendaciones-gestion-de-informacion/

El documento final que entrega el CSIRT de Gobierno tiene el formato que se ejemplifica a continuación y es enviado como archivo PDF firmado. Cada documento tiene un número de identificación único y de haber versiones posteriores estas llevan números correlativos sucesivos.

Como se señalaba, Este informe final que entregamos consta de secciones en las que se explican qué activos se revisaron, el alcance de los resultados y la forma en que se realizó el análisis de vulnerabilidades. 

La sección Visión General muestra la cantidad de vulnerabilidades calificadas como de riesgo alto (en rojo), medio (amarillo), bajo (celeste) e informacional (verde). Todas estas se mencionan en la sección Impacto, y se detallan a continuación de dicha sección, exceptuando las vulnerabilidades de tipo informacional. La recomendación general es abordar en primer lugar las vulnerabilidades de mayor riesgo, si se cuenta con recursos limitados y no es posible mitigarlas todas inmediatamente.