Asignación y publicación de CVE
Desde el 15 de enero de 2020, INCIBE es CNA (Autoridad de Numeración de CVE -Common Vulnerabilities and Exposures–), asumiendo como propias, desde esta fecha, las buenas prácticas de dicho programa.
Esta adhesión supone que INCIBE pasa a ser una de las organizaciones autorizadas para la asignación de identificadores CVE dentro de su alcance, así como su correspondiente publicación en la sección de CNA.
Esta política persigue además garantizar que los usuarios finales tengan a su disposición algún mecanismo de mitigación, antes de que se publique el CVE.
¿Qué puedo notificar al CNA de INCIBE-CERT?
El CNA de INCIBE-CERT gestiona Zero Days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE.
¿Qué casos no se gestionan desde el CNA de INCIBE-CERT?
No es objeto de esta política, la notificación de vulnerabilidades observadas sobre activos, cuando la vulnerabilidad identificada ya tenga un CVE asignado y publicado. En estos supuestos, debe de dirigirse a la sección de reporte de incidentes de INCIBE-CERT.
¿Cómo contactar con el CNA de INCIBE-CERT?
Para informar de un candidato a posible CVE al CNA de INCIBE-CERT, envíe un correo electrónico al buzón 
, donde se le guiará durante todo el proceso de asignación y publicación del CVE.
Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón (descargar clave pública). La clave y su fingerprint están listados en nuestra página de claves públicas pgp.
Los idiomas aceptados para la recepción de la información son: español e inglés.
Cualquier comunicación con el CNA de INCIBE-CERT estará sujeta a la Política de Protección de Datos Personales de INCIBE.
Proceso de asignación y publicación de un CVE
- Una vez recibida la notificación, INCIBE confirmará su recepción y comenzará la comunicación con el interesado en un plazo no superior a 3 días laborables.
- El periodo de asignación y publicación de un CVE se acuerda, caso por caso, con el investigador que la reportó y la organización responsable del activo afectado.
- Una vez acordado el periodo anterior, solo podrá ser ampliado cuando los actores involucrados evidencien que están trabajando una solución efectiva y eficiente al problema.
- INCIBE no anunciará públicamente un CVE hasta que las correcciones estén disponibles, siempre y cuando se esté trabajando en su solución. Asimismo, si por las características del CVE (probabilidad de que sea explotado, o el nivel de impacto), INCIBE se reserva el derecho de poder comunicar, de forma previa a la asignación y publicación del CVE, a posibles interesados.
- Si por cualquier circunstancia, el responsable de la subsanación no evidencia adecuadamente la realización de ningún tipo de acción para su resolución, por defecto, el CVE podrá ser asignado y publicado por el CNA de INCIBE a los 60 días.
Transformación del rol de INCIBE en Root
Desde el 17 de junio de 2021, además de los trabajos de coordinación y asignación de identificadores CVE, INCIBE adopta el rol de Root, asumiendo la coordinación de los posibles CNA que se encuentren bajo su ámbito.
Como Root, INCIBE también será responsable de velar por la asignación efectiva de los identificadores CVE que asignen todos aquellos CNA que esté coordinando, además de implementar las reglas y directrices del Programa CVE. Además será la entidad competente de la adhesión e incorporación de nuevos CNA y de la resolución de conflictos dentro de su ámbito de actuación. Asimismo, INCIBE ha ampliado a su ámbito de CNA a aquellos candidatos a CVE reportados a INCIBE por investigadores españoles que no estén dentro del ámbito de otro CNA.
A continuación, se detallan las políticas adoptadas, tanto por INCIBE Root como por los CNA bajo su supervisión:
- Política acerca de los productos al final de su vida útil
- Política y procedimiento respecto a los CNA inactivos
- Política y procedimiento acerca de los RBP
- Política de apelación de INCIBE Root
Esta designación consolida a INCIBE como agente clave de confianza para el intercambio de información entre las organizaciones españolas, fomentando una mayor colaboración con el objetivo de que todas las partes involucradas en este proceso, puedan tomar mejores decisiones para seguir elevando el nivel de ciberseguridad de las empresas nacionales.
¿Quieres formar parte del programa CVE?
Una de las principales misiones de los Root es promover el programa CVE, invitando y creando nuevos CNA bajo su ámbito.
Si quieres más información de cómo formar parte del programa y convertirte en un CNA puedes contactar con nosotros a través del buzón de , desde donde le indicaremos los requisitos necesarios y le guiaremos durante el proceso.
Agradecimientos
Los siguientes investigadores, clasificados por el número de CVE publicados y orden alfabético, han participado en el programa CVE coordinado por el CNA de INCIBE, descubriendo dichos problemas de seguridad y aceptando ser mencionados en este listado, a los que extendemos nuestro agradecimiento:
| Nombre del investigador | CVE publicados |
|---|---|
| Rafael Pedrero | 251 |
| David Utón Amaya (m3n0sd0n4ld) | 40 |
| Aarón Flecha Menéndez | 37 |
| Gabriel Vía Echezarreta | 23 |
| Alejandro Amorín Niño | 17 |
| Jorge Alberto Palma Reyes | 16 |
| Pablo Arias Rodríguez | 16 |
| Sergio Román Hurtado | 16 |
| Guillermo Tuvilla Gómez | 15 |
| Gabriel Gonzalez García | 12 |
| Francisco Javier Medina Munuera | 11 |
| Gonzalo Aguilar Garcia (6h4ack) | 11 |
| Jacinto Moral Matellán | 11 |
| Joel Gámez Molina, @JoelGMSec | 10 |
| Pedro José Navas Pérez | 10 |
| Albert Sánchez Miñano | 9 |
| Antonio José Gálvez Sánchez | 9 |
| Asier Barranco | 9 |
| David Cámara Galindo | 9 |
| Julen Garrido Estevez | 9 |
| Pedro Gabaldón Juliá | 9 |
| David Padilla Alvarado | 8 |
| Rubén Barberà Pérez | 8 |
| Miguel Segovia Gil | 6 |
| Tin Pham aka "TF1T" | 6 |
| Alejandro Baño Andrés | 5 |
| Alexander Huaman Jaimes (@zanganox) | 5 |
| Diego León Casas | 5 |
| HADESS | 5 |
| J. Daniel Martinez (dan1t0) | 5 |
| Konrad Kowal Karp | 5 |
| Ángel Heredia Pérez | 4 |
| Carlos Aguadé | 4 |
| Carlos Antonini Cepeda | 4 |
| Francisco Palma Esteo | 4 |
| Guillermo Garcia Molina | 4 |
| Héctor de Armas Padrón (@3v4SI0N) | 4 |
| Juampa Rodríguez | 4 |
| Luis Martín Liras | 4 |
| Oscar Atienza | 4 |
| Pablo Valle Alvear | 4 |
| Rubén López Herrera | 4 |
| Andrés Elizalde Galdeano | 3 |
| anxx | 3 |
| Enrique Benvenutto Navarro | 3 |
| Guzmán Fernández Ocaña | 3 |
| Ignacio García Mestre (Br4v3n) | 3 |
| Luis Vázquez Castaño | 3 |
| Pablo Alcarria Lozano | 3 |
| Pau Valls Peleteiro | 3 |
| Sergio Apellániz | 3 |
| Víctor Fresco Perales (@hacefresko) | 3 |
| Víctor Rodríguez Carreño | 3 |
| Adriá Bonilla Martin | 2 |
| Adrián Campazas Vega | 2 |
| Alberto Gasulla | 2 |
| Alberto Miguel Diez | 2 |
| Aldayr Ruiz (xsmaky) | 2 |
| Ander Martínez Sola | 2 |
| Bertrand Lorente Yáñez | 2 |
| Carlos Polop Martin | 2 |
| David Álvarez Robles | 2 |
| David Matilla Rebollo | 2 |
| Edgar Carrillo Egea | 2 |
| Francisco Díaz-Pache Alonso | 2 |
| Ismael Pacheco Torrecilla | 2 |
| Javier Fernandez Beré | 2 |
| Jesús Antón | 2 |
| Jesús Ródenas Huerta, @Marmeus | 2 |
| Joel Serna Moreno | 2 |
| Jorge Manuel Lozano Gómez | 2 |
| José Luis Verdeguer Navarro | 2 |
| Konrad Kowal Karp @nag0mez | 2 |
| Raúl Caro Teixido | 2 |
| Raúl Fuentes Ferrer | 2 |
| Reza Rashidi | 2 |
| Sergio Corral Cristo | 2 |
| Víctor Bello Cuevas | 2 |
| Victor Fidalgo Villar | 2 |
| Adrián Marín Villar | 1 |
| Agustín Picazo (Black Giraffe) | 1 |
| Alfredo Mariños | 1 |
| Andrea Brosio | 1 |
| Andris Raugulis | 1 |
| Ángel González | 1 |
| @_Barriuso | 1 |
| Bruno López (n0d0n) | 1 |
| Camilo Andrés Bruna | 1 |
| Carlos Alonso Arranz | 1 |
| Cristhian Pacherres | 1 |
| Daniel Collado Tomé | 1 |
| Daniel Martínez Adan (adon90) | 1 |
| David Aparicio Salcedo | 1 |
| David Jiménez | 1 |
| David Manuel Herrera Rodríguez | 1 |
| Edmundo Figueiras Gomez | 1 |
| Ehab Hussein | 1 |
| Enrique Fernández Lorenzo (bighound) | 1 |
| Ethan Shackelford | 1 |
| Gerard Fuguet Morales | 1 |
| Germán Planells García | 1 |
| Guillermo Mejías Climent (Flamberik) | 1 |
| Ignacio Lis Malagón | 1 |
| Iker Loidi Auza | 1 |
| Jakob Pfister | 1 |
| Jan Adamski (johnny1337.pl) | 1 |
| Javier Garcia Antón | 1 |
| Javier Paradelo Rodriguez | 1 |
| Jesús Alcalde Alcázar | 1 |
| Jesús Higueras | 1 |
| Jesús Olmos Gonzales | 1 |
| Jordi Forès | 1 |
| Jorge Gutiérrez Valderrama | 1 |
| Juan González | 1 |
| Julián J. Menéndez | 1 |
| Keval Shah | 1 |
| Kevin Gonzalvo Vicente | 1 |
| Manuel Segovia Gil | 1 |
| Mauricio Jara | 1 |
| Milan Duric | 1 |
| Pablo Arriaga Perez | 1 |
| Pablo Pardo | 1 |
| Petar Alexandrov Nikolov | 1 |
| Raquel Gálvez Farfán | 1 |
| Raúl Vega Arjona | 1 |
| Sergio González González | 1 |
| Tarek Bouali, @iambouali | 1 |
