Política de reporte de vulnerabilidades

La búsqueda y explotación de vulnerabilidades es una estrategia destinada a comprometer la información y la seguridad de los sistemas afectados. Suelen usarse en la comisión de delitos  económicos, robos de información o credenciales, etc. aunque también han estado relacionadas con los ataques a infraestructuras estratégicas de varios países. Es crucial, por lo tanto,  articular vías para la notificación y parcheado de vulnerabilidades.

Por ello, el CERTSI proporciona soporte a aquellas personas que deseen aportar información sobre vulnerabilidades que hayan detectado tanto en sistemas propios del CERTSI, como de terceros. Además, el CERTSI actúa anonimizando los datos del reportador, salvo que este indique expresamente lo contrario (durante cualquier momento de la gestión de la vulnerabilidad) o un juez lo exija.

¿Qué es una vulnerabilidad?

Según la definición de la ENISA, una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores.

Acciones no permitidas en la búsqueda de vulnerabilidades.

Es muy importante tener en cuenta el respeto a la ley. Notificar una vulnerabilidad no implica estar exento de su cumplimiento. Buscar vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo. Varias acciones no están permitidas. Por ejemplo:

  • Usar ingeniería social
  • Comprometer el sistema y mantener el acceso a este de manera persistente
  • Alterar los datos a los que se acceda explotando la vulnerabilidad.
  • Utilizar malware
  • Utilizar la vulnerabilidad de cualquier forma más allá de demostrar su existencia. Para demostrar que la vulnerabilidad existe, se pueden usar métodos no agresivos. Por ejemplo, listando un directorio del sistema.
  • Usar fuerza bruta para ganar acceso a los sistemas
  • Compartir la vulnerabilidad con terceros
  • Realizar ataques DoS o DDoS

En cualquier caso, debe notificarse la vulnerabilidad en cuanto sea detectada y no sacar provecho de ella de forma alguna.

¿Cómo reportar una vulnerabilidad?

Envía un correo electrónico a Buzón de CERTSI.. Es recomendable transmitir la información cifrada con la clave PGP pública del buzón correspondiente del CERTSI.

La siguiente información es necesaria para notificar una vulnerabilidad:

  • Descripción clara y detallada de la vulnerabilidad
  • Información clara y detallada de cómo se ha llegado a descubrir la vulnerabilidad. El objetivo es poder reproducirla.

Otra información puede ser de utilidad a la hora de notificar la vulnerabilidad:

  • Pruebas de la existencia de la vulnerabilidad (captura de pantalla, enlace, etc.)
  • Timeline o información temporal sobre el momento en el que se descubrió la vulnerabilidad.
  • Cualquier tipo de información que considere necesaria para localizar y resolver la vulnerabilidad de la forma más rápida y eficaz posible.

Una vez recibida la notificación, el CERTSI confirmará su recepción y comenzará la comunicación con el interesado. Para realizar la gestión, el CERTSI cuenta con un equipo que opera de manera continuada en formato 24x7 (24 horas, 7 días a la semana) y dispone de procedimientos suficientes para comunicar las vulnerabilidades a través de correo electrónico o por vía telefónica.

Si la vulnerabilidad involucra a un operador de infraestructuras críticas, el CERTSI también dispone de distintos puntos de contacto -en virtud de sus acuerdos firmados con los operadores- para facilitar la comunicación y asegurarse de que la notificación ha sido correctamente recibida. Además, su equipo técnico especializado ofrece soporte para mitigar y resolver la vulnerabilidad lo antes posible.

Una vez comunicada la vulnerabilidad, se realizan seguimientos periódicos hasta que finalice el plazo estándar fijado por el CERTSI: 45 días y un periodo de gracia de 15 días, si se considera que la vulnerabilidad requiere de más tiempo para su solución. Durante el proceso, el CERTSI podría contactar con la persona que haya reportado la vulnerabilidad para solicitarle información si fuera necesario o para informarle sobre el estado de la vulnerabilidad si las circunstancias lo permitieran.

El CERTSI agradece que se notifiquen las vulnerabilidades con suficiente tiempo para realizar la notificación y colaborar en su solución, si fuese necesario, antes de hacerlas públicas. Tanto si la gestión de la vulnerabilidad es exitosa, como si en el plazo de 60 días (45 días más el periodo de gracia de 15 días, si procede) la parte responsable de su gestión no ha tomado las medidas suficientes para solucionarla, el CERTSI emitirá un aviso notificando la vulnerabilidad conjuntamente con la persona que la ha reportado, si esta lo desea.

Gratificaciones, recompensas y agradecimientos

El CERTSI agradece y valora sinceramente el trabajo del reportador de vulnerabilidades, pero no dispone de capacidad para gratificar económicamente su trabajo.

No obstante, el CERTSI publicará un aviso y le ofrecerá sus canales habituales de comunicación como promoción por el descubrimiento de la vulnerabilidad. Además, si el afectado por la vulnerabilidad desea gratificar de algún modo al reportador, el CERTSI facilitará la comunicación entre ambos para que todo sea lo más sencillo y ágil posible.