Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Programa de divulgación responsable de vulnerabilidades

En el Centro Vasco de Ciberseguridad seguimos una política de revelación responsable de vulnerabilidades ya que consideremos que es la mejor manera de fomentar una sociedad más segura y protegida frente a las ciberamenazas. Creemos que la investigación y la divulgación sobre ciberseguridad responsable nos ayudan a mejorar constantemente.

Los errores y las vulnerabilidades se vuelven casi inevitables cuando se desarrolla un sistema informático, software o hardware sofisticado. A menudo, estos errores no los encuentran los empleados ni los técnicos expertos de la propia empresa, sino los investigadores externos. La detección de estas vulnerabilidades es clave para lograr una sociedad cibersegura. Desde el BCSC realizamos la coordinación responsable de la vulnerabilidad, es decir, hacer de intermediario entre quién descubre las vulnerabilidades y las entidades afectadas con el fin de que dicha comunicación sea lo más fluida honesta posible.

¿Cómo funciona el programa de divulgación responsable?

En el momento de recibir las vulnerabilidades, y tras un análisis inicial para confirmarla, notificamos inmediatamente a las entidades afectadas a través de canales de comunicación seguros, de modo que tengan tiempo suficiente para analizar el fallo y tomar las medidas pertinentes para solucionarlo.

Por norma general, se establecerá un periodo de 45 días tras haber enviado la notificación inicial a la entidad afectada para corregir el fallo. En ciertas ocasiones, como en las que explotación de dicha vulnerabilidad pueda tener un impacto crítico, si fuera necesario se convendrá un periodo de gracia adicional, siendo normalmente de 14 días o el que se estime oportuno.

Finalmente, una vez corregido el fallo, se realizará una divulgación conjunta de la información. En aquellos casos en los que la entidad afectada haga caso omiso o muestre desinterés manifiesto en corregir el fallo, se valorará la posibilidad de dar difusión de la vulnerabilidad con el objetivo de alertar a los potenciales afectados.


Fases de nuestra política de revelación de vulnerabilidades


Acciones no permitidas en la búsqueda de vulnerabilidades

Buscar, identificar y reportar vulnerabilidades no implica estar exento de cumplimiento de la ley. A continuación se indican una serie de acciones que no se deben realizar.

  • Está totalmente prohibido cualquier tipo de ataque físico.
  • No se debe utilizar la vulnerabilidad de cualquier forma más allá de demostrar su existencia.
  • No se debe compartir la vulnerabilidad con terceros.
  • No está permitido utilizar ingeniería social.
  • No se deben comprometer los sistemas y mantener persistencia.
  • No se deben modificar datos a los que se acceda explotando la vulnerabilidad.
  • No está permitido la utilización de malware.
  • No se debe obtener provecho de la vulnerabilidad identificada.
  • No está permitido la utilización de herramientas automáticas que produzcan carga en los servidores.
  • No se debe utilizar fuerza bruta para obtener acceso al sistema.
  • No está permitido realizar ataques de negación de servicio.
  • No se debe acceder a la información personal. Si se accede accidentalmente, se debe parar la investigación y reportar inmediatamente la vulnerabilidad.
  • Se debe parar inmediatamente la actividad en el caso de que se crea que se haya podido afectar a las disponibilidad de los servicios.
  • Se debe parar inmediatamente la actividad y reportar la vulnerabilidad si se obtiene acceso a áreas no públicas.

Agradecimientos

El servicio Vasco de Ciberseguridad valora el trabajo realizado por los investigadores para identificar las vulnerabilidades y reportarlas de manera responsable.

En señal de reconocimiento, si la persona que haya reportado la/s vulnerabilidad/es así lo desea, se publicarán sus datos.

  • Juanan Pereira Varela

Ámbito del programa de divulgación responsable

Como CERT público autonómico tenemos vocación de servicio a la ciudadania y las empresas vascas. Estamos firmemente concienciados en la importancia de fomentar que todas las vulnerabilidades se divulguen de manera responsable.

Estamos especialmente interesados en aquellas vulnerabilidades con un impacto alto o crítico que afectan a organismos públicos del Gobierno Vasco.

Obtén información

Correo electrónico

¿Cómo puedo reportar una vulnerabilidad?

Se debe recopilar únicamente la información necesaria para demostrar la vulnerabilidad y enviar un correo electrónico a .

Para garantizar la confidencialidad de la información intercambiada disponemos de claves públicas PGP.

Con el fin de agilizar el proceso, agradecemos un reporte de vulnerabilidad lo más detallado posible, incluyendo cómo se ha descubierto, pruebas de concepto, capturas de pantalla etc.