En el Centro Vasco de Ciberseguridad seguimos una política de revelación responsable de vulnerabilidades ya que consideremos que es la mejor manera de fomentar una sociedad más segura y protegida frente a las ciberamenazas. Creemos que la investigación y la divulgación sobre ciberseguridad responsable nos ayudan a mejorar constantemente.
Los errores y las vulnerabilidades se vuelven casi inevitables cuando se desarrolla un sistema informático, software o hardware sofisticado. A menudo, estos errores no los encuentran los empleados ni los técnicos expertos de la propia empresa, sino los investigadores externos. La detección de estas vulnerabilidades es clave para lograr una sociedad cibersegura. Desde el BCSC realizamos la coordinación responsable de la vulnerabilidad, es decir, hacer de intermediario entre quién descubre las vulnerabilidades y las entidades afectadas con el fin de que dicha comunicación sea lo más fluida honesta posible.
En el momento de recibir las vulnerabilidades, y tras un análisis inicial para confirmarla, notificamos inmediatamente a las entidades afectadas a través de canales de comunicación seguros, de modo que tengan tiempo suficiente para analizar el fallo y tomar las medidas pertinentes para solucionarlo.
Por norma general, se establecerá un periodo de 45 días tras haber enviado la notificación inicial a la entidad afectada para corregir el fallo. En ciertas ocasiones, como en las que explotación de dicha vulnerabilidad pueda tener un impacto crítico, si fuera necesario se convendrá un periodo de gracia adicional, siendo normalmente de 14 días o el que se estime oportuno.
Finalmente, una vez corregido el fallo, se realizará una divulgación conjunta de la información. En aquellos casos en los que la entidad afectada haga caso omiso o muestre desinterés manifiesto en corregir el fallo, se valorará la posibilidad de dar difusión de la vulnerabilidad con el objetivo de alertar a los potenciales afectados.
Buscar, identificar y reportar vulnerabilidades no implica estar exento de cumplimiento de la ley. A continuación se indican una serie de acciones que no se deben realizar.
El servicio Vasco de Ciberseguridad valora el trabajo realizado por los investigadores para identificar las vulnerabilidades y reportarlas de manera responsable.
En señal de reconocimiento, si la persona que haya reportado la/s vulnerabilidad/es así lo desea, se publicarán sus datos.
Como CERT público autonómico tenemos vocación de servicio a la ciudadania y las empresas vascas. Estamos firmemente concienciados en la importancia de fomentar que todas las vulnerabilidades se divulguen de manera responsable.
Estamos especialmente interesados en aquellas vulnerabilidades con un impacto alto o crítico que afectan a organismos públicos del Gobierno Vasco.
Se debe recopilar únicamente la información necesaria para demostrar la vulnerabilidad y enviar un correo electrónico a .
Para garantizar la confidencialidad de la información intercambiada disponemos de claves públicas PGP.
Con el fin de agilizar el proceso, agradecemos un reporte de vulnerabilidad lo más detallado posible, incluyendo cómo se ha descubierto, pruebas de concepto, capturas de pantalla etc.