Asignación y publicación de CVE

Desde el 15 de enero de 2020, INCIBE es CNA (Autoridad de Numeración de CVE -Common Vulnerabilities and Exposures–), asumiendo como propias, desde esta fecha, las buenas prácticas de dicho programa.

Esta adhesión supone que INCIBE pasa a ser una de las organizaciones autorizadas para la asignación de identificadores CVE dentro de su alcance, así como su correspondiente publicación en la sección de CNA.

Esta política persigue además garantizar que los usuarios finales tengan a su disposición algún mecanismo de mitigación, antes de que se publique el CVE.

¿Qué puedo notificar al CNA de INCIBE-CERT?

El CNA de INCIBE-CERT gestiona Zero Days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE.

¿Qué casos no se gestionan desde el CNA de INCIBE-CERT?

No es objeto de esta política, la notificación de vulnerabilidades observadas sobre activos, cuando la vulnerabilidad identificada ya tenga un CVE asignado y publicado. En estos supuestos, debe de dirigirse a la sección de reporte de incidentes de INCIBE-CERT.

¿Cómo contactar con el CNA de INCIBE-CERT?

Para informar de un candidato a posible CVE al CNA de INCIBE-CERT, envíe un correo electrónico al buzón c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s, donde se le guiará durante todo el proceso de asignación y publicación del CVE.

Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón (descargar clave pública).

Puede verificar la autenticidad de esta clave descargándola a su anillo de claves y ejecutando el comando:

$ gpg -k c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s 
pub rsa4096 2023-05-09 [SC] [caduca: 2025-05-09]
key fingerprint 8A80 0F04 92D0 3D3A A476 39A9 D15B CED5 B696 4FCF
uid [  absoluta ] Spanish National CNA (2023-2025) <c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s>
sub rsa4096 2023-05-09 [E] [caduca: 2025-05-09]

Los idiomas aceptados para la recepción de la información son: español e inglés.

Cualquier comunicación con el CNA de INCIBE-CERT estará sujeta a la Política de Protección de Datos Personales de INCIBE.

Proceso de asignación y publicación de un CVE

  • Una vez recibida la notificación, INCIBE confirmará su recepción y comenzará la comunicación con el interesado en un plazo no superior a 3 días laborables.
  • El periodo de asignación y publicación de un CVE se acuerda, caso por caso, con el investigador que la reportó y la organización responsable del activo afectado.
  • Una vez acordado el periodo anterior, solo podrá ser ampliado cuando los actores involucrados evidencien que están trabajando una solución efectiva y eficiente al problema.
  • INCIBE no anunciará públicamente un CVE hasta que las correcciones estén disponibles, siempre y cuando se esté trabajando en su solución. Asimismo, si por las características del CVE (probabilidad de que sea explotado, o el nivel de impacto), INCIBE se reserva el derecho de poder comunicar, de forma previa a la asignación y publicación del CVE, a posibles interesados.
  • Si por cualquier circunstancia, el responsable de la subsanación no evidencia adecuadamente la realización de ningún tipo de acción para su resolución, por defecto, el CVE podrá ser asignado y publicado por el CNA de INCIBE a los 60 días.

Transformación del rol de INCIBE en Root

Desde el 17 de junio de 2021, además de los trabajos de coordinación y asignación de identificadores CVE, INCIBE adopta el rol de Root, asumiendo la coordinación de los posibles CNA que se encuentren bajo su ámbito.

Como Root, INCIBE también será responsable de velar por la asignación efectiva de los identificadores CVE que asignen todos aquellos CNA que esté coordinando, además de implementar las reglas y directrices del Programa CVE. Además será la entidad competente de la adhesión e incorporación de nuevos CNA y de la resolución de conflictos dentro de su ámbito de actuación. Asimismo, INCIBE ha ampliado a su ámbito de CNA a aquellos candidatos a CVE reportados a INCIBE por investigadores españoles que no estén dentro del ámbito de otro CNA.

A continuación, se detallan las políticas adoptadas, tanto por INCIBE Root como por los CNA bajo su supervisión:

Esta designación consolida a INCIBE como agente clave de confianza para el intercambio de información entre las organizaciones españolas, fomentando una mayor colaboración con el objetivo de que todas las partes involucradas en este proceso, puedan tomar mejores decisiones para seguir elevando el nivel de ciberseguridad de las empresas nacionales.

¿Quieres formar parte del programa CVE?

Una de las principales misiones de los Root es promover el programa CVE, invitando y creando nuevos CNA bajo su ámbito.

Si quieres más información de cómo formar parte del programa y convertirte en un CNA puedes contactar con nosotros a través del buzón de c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s, desde donde le indicaremos los requisitos necesarios y le guiaremos durante el proceso.

Agradecimientos

Los siguientes investigadores, clasificados por el número de CVE publicados y orden alfabético, han participado en el programa CVE coordinado por el CNA de INCIBE, descubriendo dichos problemas de seguridad y aceptando ser mencionados en este listado, a los que extendemos nuestro agradecimiento:

Nombre del investigadorCVE publicados
Rafael Pedrero137
Jorge Alberto Palma Reyes16
Pablo Arias Rodríguez16
Sergio Román Hurtado16
Aarón Flecha Menéndez15
Alejandro Amorín Niño15
Guillermo Tuvilla Gómez15
David Utón Amaya (m3n0sd0n4ld)12
Jacinto Moral Matellán11
Francisco Javier Medina Munuera10
Joel Gámez Molina, @JoelGMSec10
Albert Sánchez Miñano9
David Cámara Galindo9
Antonio José Gálvez Sánchez8
Pedro Gabaldón Juliá8
Pedro José Navas Pérez8
Rubén Barberà Pérez8
Gabriel Gonzalez García6
Tin Pham aka "TF1T"6
HADESS5
Alejandro Baño Andrés4
Carlos Antonini Cepeda4
Diego León Casas4
Francisco Palma Esteo4
Guillermo Garcia Molina4
Juampa Rodríguez4
Luis Martín Liras4
Oscar Atienza4
Pablo Valle Alvear4
Rubén López Herrera4
Alexander Huaman Jaimes (@zanganox)3
Andrés Elizalde Galdeano3
anxx3
Enrique Benvenutto Navarro3
Gabriel Vía Echezarreta3
J. Daniel Martinez (dan1t0)3
Konrad Kowal Karp3
Luis Vázquez Castaño3
Miguel Segovia Gil3
Sergio Apellániz3
Adrián Campazas Vega2
Alberto Miguel Diez2
Ander Martínez Sola2
Ángel Heredia Pérez2
David Álvarez Robles2
David Matilla Rebollo2
Francisco Díaz-Pache Alonso2
Héctor de Armas Padrón (@3v4SI0N)2
Jesús Antón2
Jesús Ródenas Huerta, @Marmeus2
Joel Serna Moreno2
José Luis Verdeguer Navarro2
@nag0mez2
Sergio Corral Cristo2
Victor Fidalgo Villar2
Víctor Fresco Perales (@hacefresko)2
Alberto Gasulla1
Agustín Picazo (Black Giraffe)1
@_Barriuso1
Camilo Andrés Bruna1
Daniel Martínez Adan (adon90)1
David Jiménez1
David Manuel Herrera Rodríguez1
Edgar Carrillo Egea1
Edmundo Figueiras Gomez1
Gerard Fuguet Morales1
Germán Planells García1
Ignacio García Mestre (Br4v3n)1
Ignacio Lis Malagón1
Iker Loidi Auza1
Jan Adamski (johnny1337.pl)1
Javier Garcia Antón1
Jesús Olmos Gonzales1
Jorge Gutiérrez Valderrama1
Jorge Manuel Lozano Gómez1
Juan González1
Julián J. Menéndez1
Keval Shah1
Miguel Segovia Gil1
Pablo Alcarria Lozano1
Petar Alexandrov Nikolov1
Sergio González González1
Tarek Bouali, @iambouali1
Compartir en Redes Sociales