Inicio / Reporte de Vulnerabilidades al CNA

Reporte de Vulnerabilidades al CNA

Desde el 15 de enero de 2020, INCIBE es CNA, Autoridad de Numeración de CVE -Common Vulnerabilities and Exposures–, asumiendo como propias desde esta fecha las buenas prácticas de gestión y descubrimiento de vulnerabilidades de dicho programa.

Esto conlleva que INCIBE pasa a ser una de las organizaciones autorizadas para la designación de identificadores CVE dentro de su alcance.

Contacto CNA de INCIBE

Para informar de una vulnerabilidad al CNA de INCIBE, envíe un correo electrónico a buzón de c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s. Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón.

Descargar clave pública.

Puede verificar la autenticidad de esta clave descargándola a su anillo de claves y ejecutando el comando:

$ gpg -k c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s 
pub rsa4096 2019-12-20 [caduca: 2021-12-19]
key fingerprint E3AD A30A 89B3 F90D 5FBB 624B B5FA AD1E 641B AA47
uid Spanish National CNA <c v e guion c o o r d i n a t i o n a r r o b a i n c i b e p u n t o e s>
sub rsa4096 2019-12-20 [caduca: 2021-12-19]
sub rsa4096 2019-12-20 [caduca: 2021-12-19]

Los idiomas aceptados para la recepción de la información son: español e inglés.

Proceso de gestión de vulnerabilidad de INCIBE

Una vez recibida la notificación, INCIBE confirmará su recepción y comenzará la comunicación con el interesado en un plazo no superior a 72 horas.

El proceso de gestión de cada vulnerabilidad sigue las siguientes fases:

  • Fase I: Recopilación de información
  • Fase II: Análisis
  • Fase III: Coordinación
  • Fase IV: Mitigación
  • Fase V: Divulgación

Plazos de divulgación

Como CNA, el periodo de divulgación de una vulnerabilidad se acuerda caso por caso, con el investigador que la reportó y la organización que esté realizando su solución.

El retraso entre la aceptación de la vulnerabilidad y su divulgación, solo se ampliará en el caso de que los actores involucrados estén preparando y probando una solución efectiva y eficiente al problema, dando tiempo suficiente para verificar cualquier otro problema relacionado y no generando otros en dicho proceso.

Al mismo tiempo, esta política de publicación garantizará que los usuarios finales de dicho producto no tengan el conocimiento de una vulnerabilidad publicada sin tener ningún medio de actualización de esta.

INCIBE no anunciará públicamente vulnerabilidades hasta que las correcciones estén disponibles, siempre y cuando se esté trabajando en su solución, así mismo, si por las características de la vulnerabilidad (riesgo, impacto…) fuera necesario, se reserva el derecho a poder comunicar de forma excepcional, previo a la publicación, a los actores involucrados.

Si, por cualquier circunstancia, el responsable de su subsanación no evidencia la realización de ningún tipo de actuación para su solución, por defecto la vulnerabilidad podrá ser publicada a los 45 días.