Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidades

En el BCSC ofrecemos el servicio de Gestión de vulnerabilidades (Vulnerability Handling). Para ello, seguimos una política de revelación responsable de vulnerabilidades ya que consideramos que es la mejor manera de mejorar el software y hardware.

Por norma general, las vulnerabilidades que nos reporten serán divulgadas con una fecha límite de 45 días tras haber enviado la notificación inicial a los fabricantes. En ciertas ocasiones, como en las que dicha vulnerabilidad esté siendo explotada de manera especialmente activa o que la explotación de la misma tenga un impacto crítico, se convendrá un periodo de gracia adicional, siendo normalmente de 14 días.

Nuestra función es la de realizar la vulnerability response coordination, es decir, hacer de intermediario entre quién descubre las vulnerabilidades y los fabricantes con el fin de que dicha comunicación sea lo más fluida y honesta posible. 

En el momento de recibir las vulnerabilidades, anonimizamos los datos del reportador, salvo que este indique expresamente lo contrario o un juez lo exija, y notificamos inmediatamente a los fabricantes a través de canales de seguros, de modo que tengan tiempo suficiente para analizar el fallo y tomar las medidas pertinentes para solucionarlo.

Con el fin de agilizar el proceso, agradecemos que quién nos reporte una vulnerabilidad, lo haga de la manera más detallada posible, incluyendo cómo se ha descubierto, pruebas de concepto, etc.

Para garantizar la confidencialidad de la información intercambiada disponemos de claves públicas PGP para el intercambio de la misma, que se pueden encontrar en Sobre BCSC/ Claves públicas.

Se puede notificar una vulnerabilidad a través de las siguientes vías:

contactos BCSC