Divulgacion coordinada de vulnerabilidades (CVD)
¿Qué es Divulgacion coordinada de vulnerabilidades (CVD)?
Divulgacion coordinada de vulnerabilidades (CVD)Proceso en el que el descubridor, el fabricante afectado y, en ocasiones, un coordinador acuerdan un calendario antes de hacer publica una vulnerabilidad.
La divulgacion coordinada de vulnerabilidades (CVD), tambien llamada divulgacion responsable, estructura como los investigadores reportan fallos y como los fabricantes responden. Las etapas tipicas son: informe privado a un contacto de seguridad, acuse de recibo y triaje, acuerdo sobre un plazo de correccion (habitualmente 60-90 dias), publicacion del parche y aviso publico con identificador CVE y credito al investigador. CERT nacionales, CISA o plataformas como HackerOne pueden actuar como coordinadores neutrales si la comunicacion es dificil. Frente a la divulgacion total, la CVD reduce la exposicion de los defensores y conserva el incentivo del fabricante para corregir. Requiere contacto de seguridad publicado, politica clara, clausula de safe harbour y SLA realistas.
● Ejemplos
- 01
Reportar un fallo al fabricante mediante security.txt o el buzon de PSIRT y acordar 90 dias de plazo.
- 02
Usar CERT/CC o un CSIRT nacional como coordinador en una vulnerabilidad que afecta a varios fabricantes.
● Preguntas frecuentes
¿Qué es Divulgacion coordinada de vulnerabilidades (CVD)?
Proceso en el que el descubridor, el fabricante afectado y, en ocasiones, un coordinador acuerdan un calendario antes de hacer publica una vulnerabilidad. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Divulgacion coordinada de vulnerabilidades (CVD)?
Proceso en el que el descubridor, el fabricante afectado y, en ocasiones, un coordinador acuerdan un calendario antes de hacer publica una vulnerabilidad.
¿Cómo funciona Divulgacion coordinada de vulnerabilidades (CVD)?
La divulgacion coordinada de vulnerabilidades (CVD), tambien llamada divulgacion responsable, estructura como los investigadores reportan fallos y como los fabricantes responden. Las etapas tipicas son: informe privado a un contacto de seguridad, acuse de recibo y triaje, acuerdo sobre un plazo de correccion (habitualmente 60-90 dias), publicacion del parche y aviso publico con identificador CVE y credito al investigador. CERT nacionales, CISA o plataformas como HackerOne pueden actuar como coordinadores neutrales si la comunicacion es dificil. Frente a la divulgacion total, la CVD reduce la exposicion de los defensores y conserva el incentivo del fabricante para corregir. Requiere contacto de seguridad publicado, politica clara, clausula de safe harbour y SLA realistas.
¿Cómo defenderse de Divulgacion coordinada de vulnerabilidades (CVD)?
Las defensas contra Divulgacion coordinada de vulnerabilidades (CVD) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Divulgacion coordinada de vulnerabilidades (CVD)?
Nombres alternativos comunes: CVD, Divulgacion responsable.
● Términos relacionados
- attacks№ 133
Programa de recompensas por errores
Iniciativa formal por la que una organizacion invita a investigadores externos a reportar vulnerabilidades y paga recompensas en funcion del impacto.
- vulnerabilities№ 1216
Vulnerabilidad
Debilidad en un sistema, aplicación o proceso que un atacante puede explotar para vulnerar la confidencialidad, integridad o disponibilidad.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- defense-ops№ 802
Gestión de parches
Proceso integral de identificar, probar, desplegar y verificar las actualizaciones de software que corrigen vulnerabilidades o errores.
- defense-ops№ 1217
Evaluación de vulnerabilidades
Revisión sistemática de un entorno para identificar, clasificar y priorizar debilidades de seguridad, normalmente sin explotación activa.
● Véase también
- № 1234Hacker de Sombrero Blanco
- № 451Hacker de Sombrero Gris
- № 390Hacker Etico