Política de reporte de vulnerabilidades

La búsqueda y explotación de vulnerabilidades es una estrategia destinada a comprometer la información y la seguridad de los sistemas afectados. Suelen usarse en la comisión de delitos económicos, robos de información o credenciales, etc., aunque también han estado relacionadas con los ataques a infraestructuras estratégicas de varios países. Es crucial, por lo tanto, articular vías para la notificación y parcheado de vulnerabilidades.

INCIBE-CERT cuenta con una política de CVD (Coordinated Vulnerability Disclosure) establecida que da soporte a aquellos que quieran proporcionar información sobre vulnerabilidades detectadas, tanto en sistemas propios de INCIBE-CERT como en sistemas de terceros, ciudadanos y entidades de derecho privado en España.

Por ello, INCIBE-CERT proporciona soporte a aquellas personas que deseen aportar información sobre vulnerabilidades que hayan detectado, y actúa anonimizando los datos del informador, salvo que este indique expresamente lo contrario (durante cualquier momento de la gestión de la vulnerabilidad) o un/a juez/a así lo exija.

INCIBE-CERT actúa como autoridad CNA (CVE Numbering Authority) española para las prácticas de gestión y descubrimiento de vulnerabilidades, bajo el programa CVE. Además de los trabajos de coordinación y asignación de identificadores CVE, INCIBE adopta el rol de Root, asumiendo la coordinación de los posibles CNA que se encuentren bajo su ámbito. Es importante resaltar que no es objeto de esta política CNA la notificación de vulnerabilidades observadas sobre activos, cuando la vulnerabilidad identificada ya tenga un CVE asignado y publicado. En estos supuestos, debe de dirigirse a la sección de reporte de incidentes de INCIBE-CERT.

INCIBE-CERT e INCIBE coordinan la documentación, divulgación y descubrimiento de nuevas vulnerabilidades. Concretamente, INCIBE posee un alcance sobre organizaciones españolas debido a su rol de Root, y como actor CNA tiene la potestad para asignar vulnerabilidades relacionadas con su función de coordinación de vulnerabilidades en asuntos relacionados con Sistemas de Control Industrial (SCI), Tecnologías de la Información (TI) e Internet de las Cosas (IoT) a nivel nacional, y vulnerabilidades reportadas a INCIBE por organizaciones e investigadores españoles que no estén en el ámbito de otro CNA, todo ello bajo el estándar CVE.

¿Qué es una vulnerabilidad?

Según la definición de la ENISA, una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores.

¿Qué no es una vulnerabilidad?

No debe confundirse el alcance de la definición de una vulnerabilidad con el de un incidente, también definido por la ENISA, como un evento que se ha evaluado como un efecto real, o potencialmente adverso, en la seguridad o en el rendimiento de un sistema.

En INCIBE-CERT disponemos de una taxonomía para la clasificación de los incidentes de seguridad, y en la misma se recogen diferentes tipos de incidentes relacionados con vulnerabilidades identificadas o conocidas. Algunos de estos casos de incidentes provocados por vulnerabilidades serian:

  • Intento de intrusión:
    • Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (buffer overflow, XSS, backdoor…).
    • Múltiples intentos de acceso con vulneración de credenciales (brute force, password cracking…).
    • Ataque desconocido empleando exploit.
  • Intrusión:
    • Compromiso de aplicaciones: se realiza mediante la explotación de vulnerabilidades de software.
  • Disponibilidad:
    • DoS/DDoS mediante envíos de peticiones masivas (flooding) a una aplicación web o servicio para ralentizar su funcionamiento o, directamente, interrumpir su servicio.
  • Vulnerable:
    • Servicios accesibles públicamente que pueden presentar criptografía débil (servidores web susceptibles de ataques POODLE/FREAK, Heartbleed, FREAK…).
    • Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS, por ejemplo aprovechando la funcionalidad de los solucionadores de DNS abiertos para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico.
    • Sistema vulnerable por diversas causas (mala configuración de proxy en un cliente en Web Proxy Autodiscovery Protocol, sistema desactualizado, falta de antivirus y/o firewall…).

Acciones no permitidas en la búsqueda de vulnerabilidades

Es muy importante tener en cuenta el respeto a la ley, ya que notificar una vulnerabilidad no implica estar exento de su cumplimiento. Igualmente, buscar vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo. Varias acciones no están permitidas, por ejemplo:

  • usar ingeniería social;
  • comprometer el sistema y mantener el acceso a este de manera persistente;
  • alterar los datos a los que se acceda explotando la vulnerabilidad;
  • utilizar malware;
  • utilizar la vulnerabilidad de cualquier forma más allá de demostrar su existencia. Para demostrar que la vulnerabilidad existe, se pueden usar métodos no agresivos, por ejemplo listando un directorio del sistema;
  • usar fuerza bruta para ganar acceso a los sistemas;
  • compartir la vulnerabilidad con terceros;
  • realizar ataques DoS o DDoS.

En cualquier caso, debe notificarse la vulnerabilidad en cuanto sea detectada y no sacar provecho de ella de forma alguna.

Tratamiento de vulnerabilidades

Cuando INCIBE-CERT recibe una notificación de vulnerabilidad, el primer paso es comprobar si se trata de una nueva vulnerabilidad en algún producto, o de un incidente de usuario final.

En el primer supuesto, cuando se trata de una nueva vulnerabilidad en algún producto, el equipo CNA (CVE Numbering Authority) de INCIBE-CERT gestiona esos 0days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE. El CNA de INCIBE-CERT coordina la comunicación entre el investigador y el dueño del producto afectado, realiza la divulgación pública de la nueva vulnerabilidad y la documenta como un nuevo CVE.

Para la segunda opción, en el caso de un incidente de usuario final, el equipo de gestión de incidentes de INCIBE-CERT sería el encargado de realizar el triage y clasificación del incidente, notificar a los usuarios interesados/afectados y compartir los detalles técnicos y soluciones, todo ello respetando el anonimato del investigador.

¿Cómo reportar una vulnerabilidad?

Nueva vulnerabilidad

Para informar de un candidato a posible CVE al equipo CNA de INCIBE-CERT, envíe un correo electrónico al buzón Buzón CNA de INCBE-CERT., donde se le guiará durante todo el proceso de asignación y publicación del CVE.

Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón (descargar clave pública).

Para conocer más en detalle cómo contactar con el equipo CNA de INCIBE-CERT y el proceso de asignación y publicación de CVE, consulte la página de INCIBE-CERT al respecto.

Incidente de seguridad

En el caso de querer informar de un incidente, envíe un correo electrónico al buzón Buzón de INCIBE-CERT.. Es recomendable transmitir la información cifrada con la clave PGP pública del buzón correspondiente de INCIBE-CERT.

La siguiente información es necesaria para notificar una vulnerabilidad:

  • descripción clara y detallada de la vulnerabilidad;
  • información clara y detallada de cómo se ha llegado a descubrir la vulnerabilidad. El objetivo es poder reproducirla.

Otra información puede ser de utilidad a la hora de notificar la vulnerabilidad:

  • pruebas de la existencia de la vulnerabilidad (captura de pantalla, enlace, etc.);
  • timeline o información temporal sobre el momento en el que se descubrió la vulnerabilidad;
  • cualquier tipo de información que considere necesaria para localizar y resolver la vulnerabilidad de la forma más rápida y eficaz posible.

Una vez recibida la notificación, INCIBE-CERT confirmará su recepción y comenzará la comunicación con el interesado. Para realizar la gestión, INCIBE-CERT cuenta con un equipo que opera de manera continuada en formato 24x7 (24 horas, 7 días a la semana) y dispone de procedimientos suficientes para comunicar las vulnerabilidades a través de correo electrónico o por vía telefónica.

Si la vulnerabilidad involucra a un operador de infraestructuras críticas, INCIBE-CERT también dispone de distintos puntos de contacto -en virtud de sus acuerdos firmados con los operadores- para facilitar la comunicación y asegurarse de que la notificación ha sido correctamente recibida. Además, su equipo técnico especializado ofrece soporte para mitigar y resolver la vulnerabilidad lo antes posible.

Gratificaciones, recompensas y agradecimientos

INCIBE-CERT agradece y valora sinceramente el trabajo del informador de vulnerabilidades, pero no dispone de capacidad para gratificar económicamente su trabajo.

No obstante, INCIBE-CERT está autorizado, en su rol de CNA, para publicar el correspondiente aviso en la sección de CNA.

Adicionalmente, INCIBE-CERT gestiona un hall of fame de investigadores que han participado en el programa CVE coordinado por el CNA, para que quede constancia de su descubrimiento en materia de seguridad, aceptando ser mencionados en este listado, a modo de reconocimiento y agradecimiento.