Programa de divulgación responsable de vulnerabilidades
En Cyberzaintza seguimos una política de revelación responsable de vulnerabilidades ya que consideramos que es la mejor manera de fomentar una sociedad más segura y protegida frente a las ciberamenazas. Creemos que la investigación y la divulgación sobre ciberseguridad responsable nos ayudan a mejorar constantemente.
¿Cómo funciona el programa de divulgación responsable?
En el momento de recibir las vulnerabilidades, y tras un análisis inicial para confirmarla, notificamos inmediatamente a las entidades afectadas a través de canales de comunicación seguros, de modo que tengan tiempo suficiente para analizar el fallo y tomar medidas pertinentes para solucionarlo.
Por norma general, se establecerá un periodo de 45 días tras haber enviado la notificación inicial a la entidad afectada para corregir el fallo. En ciertas ocasiones, como en las que explotación de dicha vulnerabilidad pueda tener un impacto crítico, si fuera necesario se convendrá un periodo de gracia adicional, siendo normalmente de 14 días o el que se estime oportuno.
Finalmente, una vez corregido el fallo, se realizará una divulgación conjunta de la información. En aquellos casos en los que la entidad afectada haga caso omiso o muestre desinterés manifiesto en corregir el fallo, se valorará la posibilidad de dar difusión de la vulnerabilidad con el objetivo de alertar a los potenciales afectados.
Fases de nuestra política
de revelación de vulnerabilidades
Acciones no permitidas en la búsqueda de vulnerabilidades
Buscar, identificar y reportar vulnerabilidades no implica estar exento de cumplimiento de la ley.
A continuación, se indican una serie de acciones que no se deben realizar.
- Está totalmente prohibido cualquier tipo de ataque físico.
- No se debe utilizar la vulnerabilidad de cualquier forma más allá de demostrar su existencia.
- No se debe compartir la vulnerabilidad con terceros.
- No está permitido utilizar la ingeniería social.
- No se deben comprometer los sistemas y mantener persistencia.
- No se deben modificar datos a los que se acceda explotando la vulnerabilidad.
- No está permitido la utilización de malware.
- No se debe obtener provecho de la vulnerabilidad identificada.
- No está permitido la utilización de herramientas automáticas que produzcan carga en los servidores.
- No se debe utilizar fuerza bruta para obtener acceso al sistema.
- No está permitido realizar ataques de negación de servicio.
- No se debe acceder a la información personal. Si se accede accidentalmente, se debe parar la investigación y reportar inmediatamente la vulnerabilidad.
- Se debe parar inmediatamente la actividad en el caso de que se crea que se haya podido afectar a la disponibilidad de los servicios.
- Se debe parar inmediatamente la actividad y reportar la vulnerabilidad si se obtiene acceso a áreas no públicas.
Agradecimientos
Cyberzaintza valora el trabajo realizado por los investigadores para identificar las vulnerabilidades y reportarlas de manera responsable.
En señal de reconocimiento, si la persona que haya reportado la/s vulnerabilidad/es así lo desea, se publicarán sus datos.
2021
- Mintxu Fraile
- Juanan Pereira Varela
2020
- Juanan Pereira Varela
2019
- Gustavo Iñiguez Goya
Ámbito del programa de divulgación responsable
Como CERT público autonómico tenemos vocación de servicio a la ciudadanía y a las empresas vascas. Estamos firmemente concienciados en la importancia de fomentar que todas las vulnerabilidades se divulguen de manera responsable.
¿Cómo puedo reportar una vulnerabilidad?
Se debe recopilar únicamente la información necesaria para demostrar la vulnerabilidad y enviar un correo electrónico a incidencias@cyberzaintza.eus
Para garantizar la confidencialidad de la información intercambiada disponemos de claves públicas PGP.
Con el fin de agilizar el proceso, agradecemos un reporte de vulnerabilidad lo más detallado posible, incluyendo cómo se ha descubierto, pruebas de concepto, capturas de pantalla etc.
