Asignación y publicación de CVE
Desde el 15 de enero de 2020, INCIBE es CNA (Autoridad de Numeración de CVE -Common Vulnerabilities and Exposures–), asumiendo como propias, desde esta fecha, las buenas prácticas de dicho programa.
Esta adhesión supone que INCIBE pasa a ser una de las organizaciones autorizadas para la asignación de identificadores CVE dentro de su alcance, así como su correspondiente publicación en la sección de CNA.
Esta política persigue además garantizar que los usuarios finales tengan a su disposición algún mecanismo de mitigación, antes de que se publique el CVE.
¿Qué puedo notificar al CNA de INCIBE?
El CNA de INCIBE gestiona Zero Days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE.
¿Qué casos no se gestionan desde el CNA de INCIBE?
No es objeto de esta política, la notificación de vulnerabilidades observadas sobre activos, cuando la vulnerabilidad identificada ya tenga un CVE asignado y publicado. En estos supuestos, debe de dirigirse a la sección de reporte de incidentes de INCIBE.
¿Cómo contactar con el CNA de INCIBE?
Para informar de un candidato a posible CVE al CNA de INCIBE, envíe un correo electrónico al buzón 
, donde se le guiará durante todo el proceso de asignación y publicación del CVE.
Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón (descargar clave pública).
Puede verificar la autenticidad de esta clave descargándola a su anillo de claves y ejecutando el comando:
$ gpg -k
Los idiomas aceptados para la recepción de la información son: español e inglés.
Proceso de asignación y publicación de un CVE
- Una vez recibida la notificación, INCIBE confirmará su recepción y comenzará la comunicación con el interesado en un plazo no superior a 3 días laborables.
- El periodo de asignación y publicación de un CVE se acuerda, caso por caso, con el investigador que la reportó y la organización responsable del activo afectado.
- Una vez acordado el periodo anterior, solo podrá ser ampliado cuando los actores involucrados evidencien que están trabajando una solución efectiva y eficiente al problema.
- INCIBE no anunciará públicamente un CVE hasta que las correcciones estén disponibles, siempre y cuando se esté trabajando en su solución. Asimismo, si por las características del CVE (probabilidad de que sea explotado, o el nivel de impacto), INCIBE se reserva el derecho de poder comunicar, de forma previa a la asignación y publicación del CVE, a posibles interesados.
- Si por cualquier circunstancia, el responsable de la subsanación no evidencia adecuadamente la realización de ningún tipo de acción para su resolución, por defecto, el CVE podrá ser asignado y publicado por el CNA de INCIBE a los 60 días.
Transformación del rol de INCIBE en Root
Desde el 17 de junio de 2021, además de los trabajos de coordinación y asignación de identificadores CVE, INCIBE adopta el rol de Root, asumiendo la coordinación de los posibles CNA que se encuentren bajo su ámbito.
Como Root, INCIBE también será responsable de velar por la asignación efectiva de los identificadores CVE que asignen todos aquellos CNA que esté coordinando, además de implementar las reglas y directrices del Programa CVE. Además será la entidad competente de la adhesión e incorporación de nuevos CNA y de la resolución de conflictos dentro de su ámbito de actuación. Asimismo, INCIBE ha ampliado a su ámbito de CNA a aquellos candidatos a CVE reportados a INCIBE por investigadores españoles que no estén dentro del ámbito de otro CNA.
A continuación, se detallan las políticas adoptadas, tanto por INCIBE Root como por los CNA bajo su supervisión:
- Política acerca de los productos al final de su vida útil
- Política y procedimiento respecto a los CNA inactivos
- Política y procedimiento acerca de los RBP
- Política de apelación de INCIBE Root
Esta designación consolida a INCIBE como agente clave de confianza para el intercambio de información entre las organizaciones españolas, fomentando una mayor colaboración con el objetivo de que todas las partes involucradas en este proceso, puedan tomar mejores decisiones para seguir elevando el nivel de ciberseguridad de las empresas nacionales.
¿Quieres formar parte del programa CVE?
Una de las principales misiones de los Root es promover el programa CVE, invitando y creando nuevos CNA bajo su ámbito.
Si quieres más información de cómo formar parte del programa y convertirte en un CNA puedes contactar con nosotros a través del buzón de , desde donde le indicaremos los requisitos necesarios y le guiaremos durante el proceso.
Agradecimientos
Los siguientes investigadores, clasificados por el número de CVE publicados y orden alfabético, han participado en el programa CVE coordinado por el CNA de INCIBE, descubriendo dichos problemas de seguridad y aceptando ser mencionados en este listado, a los que extendemos nuestro agradecimiento:
| Posición | Nombre del investigador | CVE publicados |
|---|---|---|
| 1 | Aarón Flecha Menéndez | 12 |
| 2 | Joel Gámez Molina, @JoelGMSec | 10 |
| 3 | Tin Pham aka "TF1T" | 6 |
| 4 | Diego León Casas | 4 |
| 4 | Francisco Palma Esteo | 4 |
| 4 | Jorge Alberto Palma Reyes | 4 |
| 4 | Luis Martín Liras | 4 |
| 4 | Pablo Arias Rodríguez | 4 |
| 5 | Enrique Benvenutto Navarro | 3 |
| 5 | Luis Vázquez Castaño | 3 |
| 6 | David Álvarez Robles | 2 |
| 6 | Francisco Díaz-Pache Alonso | 2 |
| 6 | Jesús Ródenas Huerta, @Marmeus | 2 |
| 6 | José Luis Verdeguer Navarro | 2 |
| 6 | @nag0mez | 2 |
| 6 | Sergio Corral Cristo | 2 |
| 6 | Victor Fidalgo Villar | 2 |
| 7 | Albert Sanchez Miñano | 1 |
| 7 | Ander Martínez Sola | 1 |
| 7 | @_Barriuso | 1 |
| 7 | Carlos Antonini Cepeda | 1 |
| 7 | David Cámara Galindo | 1 |
| 7 | David Jiménez | 1 |
| 7 | Gerard Fuguet Morales | 1 |
| 7 | Jacinto Moral Matellán | 1 |
| 7 | Jesús Olmos Gonzales | 1 |
| 7 | Jorge Gutiérrez Valderrama | 1 |
| 7 | Keval Shah | 1 |
| 7 | Rafael Pedrero | 1 |
| 7 | Rubén Barberà Pérez | 1 |
| 7 | Tarek Bouali, @iambouali | 1 |
| 7 | Víctor Fresco Perales | 1 |
