Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidades

Gráfica vulnerabilidades

Diagrama basado en Responsible Vulnerability Disclosure Process de The Internet Engineering Task Force (IETF).

El National Institute Of Standards And Technology (NIST) define una vulnerabilidad como una debilidad en un sistema de información, en los procedimientos de seguridad de un sistema, en los controles internos o en la implementación, de modo que pueda ser aprovechada por una amenaza.

La European Union Agency for Network and Information Security (ENISA) lo hace como la existencia de una debilidad, o un error de diseño o implementación que puede derivar en un evento inesperado y no deseado que comprometa la seguridad del sistema, red, aplicación o protocolo involucrados.

En el BCSC ofrecemos el servicio de Gestión de vulnerabilidades (Vulnerability Handling). Para ello, seguimos una política de revelación responsable de vulnerabilidades ya que consideramos que es la mejor manera de mejorar el software y hardware.

Por norma general, las vulnerabilidades que nos reporten serán divulgadas con una fecha límite de 45 días tras haber enviado la notificación inicial a los fabricantes. En ciertas ocasiones, como en las que dicha vulnerabilidad esté siendo explotada de manera especialmente activa o que la explotación de la misma tenga un impacto crítico, se convendrá un periodo de gracia adicional, siendo normalmente de 14 días.

Nuestra función es la de realizar la vulnerability response coordination, es decir, hacer de intermediario entre quién descubre las vulnerabilidades y los fabricantes con el fin de que dicha comunicación sea lo más fluida y honesta posible. 

En el momento de recibir las vulnerabilidades, anonimizamos los datos del reportador, salvo que este indique expresamente lo contrario o un juez lo exija, y notificamos inmediatamente a los fabricantes a través de canales de seguros, de modo que tengan tiempo suficiente para analizar el fallo y tomar las medidas pertinentes para solucionarlo.

Con el fin de agilizar el proceso, agradecemos que quién nos reporte una vulnerabilidad, lo haga de la manera más detallada posible, incluyendo cómo se ha descubierto, pruebas de concepto, etc.

Para garantizar la confidencialidad de la información intercambiada disponemos de claves públicas PGP para el intercambio de la misma, que se pueden encontrar en Sobre BCSC/ Claves públicas.

Se puede notificar una vulnerabilidad a través de las siguientes vías:

contactos BCSC