Asignación y publicación de CVE
Desde el 15 de enero de 2020, INCIBE es CNA (Autoridad de Numeración de CVE -Common Vulnerabilities and Exposures–), asumiendo como propias, desde esta fecha, las buenas prácticas de dicho programa.
Esta adhesión supone que INCIBE pasa a ser una de las organizaciones autorizadas para la asignación de identificadores CVE dentro de su alcance, así como su correspondiente publicación en la sección de CNA.
Esta política persigue además garantizar que los usuarios finales tengan a su disposición algún mecanismo de mitigación, antes de que se publique el CVE.
¿Qué puedo notificar al CNA de INCIBE-CERT?
El CNA de INCIBE-CERT gestiona Zero Days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE.
¿Qué casos no se gestionan desde el CNA de INCIBE-CERT?
No es objeto de esta política, la notificación de vulnerabilidades observadas sobre activos, cuando la vulnerabilidad identificada ya tenga un CVE asignado y publicado. En estos supuestos, debe de dirigirse a la sección de reporte de incidentes de INCIBE-CERT.
¿Cómo contactar con el CNA de INCIBE-CERT?
Para informar de un candidato a posible CVE al CNA de INCIBE-CERT, envíe un correo electrónico al buzón 
, donde se le guiará durante todo el proceso de asignación y publicación del CVE.
Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón (descargar clave pública).
Puede verificar la autenticidad de esta clave descargándola a su anillo de claves y ejecutando el comando:
$ gpg -k
Los idiomas aceptados para la recepción de la información son: español e inglés.
Cualquier comunicación con el CNA de INCIBE-CERT estará sujeta a la Política de Protección de Datos Personales de INCIBE.
Proceso de asignación y publicación de un CVE
- Una vez recibida la notificación, INCIBE confirmará su recepción y comenzará la comunicación con el interesado en un plazo no superior a 3 días laborables.
- El periodo de asignación y publicación de un CVE se acuerda, caso por caso, con el investigador que la reportó y la organización responsable del activo afectado.
- Una vez acordado el periodo anterior, solo podrá ser ampliado cuando los actores involucrados evidencien que están trabajando una solución efectiva y eficiente al problema.
- INCIBE no anunciará públicamente un CVE hasta que las correcciones estén disponibles, siempre y cuando se esté trabajando en su solución. Asimismo, si por las características del CVE (probabilidad de que sea explotado, o el nivel de impacto), INCIBE se reserva el derecho de poder comunicar, de forma previa a la asignación y publicación del CVE, a posibles interesados.
- Si por cualquier circunstancia, el responsable de la subsanación no evidencia adecuadamente la realización de ningún tipo de acción para su resolución, por defecto, el CVE podrá ser asignado y publicado por el CNA de INCIBE a los 60 días.
Transformación del rol de INCIBE en Root
Desde el 17 de junio de 2021, además de los trabajos de coordinación y asignación de identificadores CVE, INCIBE adopta el rol de Root, asumiendo la coordinación de los posibles CNA que se encuentren bajo su ámbito.
Como Root, INCIBE también será responsable de velar por la asignación efectiva de los identificadores CVE que asignen todos aquellos CNA que esté coordinando, además de implementar las reglas y directrices del Programa CVE. Además será la entidad competente de la adhesión e incorporación de nuevos CNA y de la resolución de conflictos dentro de su ámbito de actuación. Asimismo, INCIBE ha ampliado a su ámbito de CNA a aquellos candidatos a CVE reportados a INCIBE por investigadores españoles que no estén dentro del ámbito de otro CNA.
A continuación, se detallan las políticas adoptadas, tanto por INCIBE Root como por los CNA bajo su supervisión:
- Política acerca de los productos al final de su vida útil
- Política y procedimiento respecto a los CNA inactivos
- Política y procedimiento acerca de los RBP
- Política de apelación de INCIBE Root
Esta designación consolida a INCIBE como agente clave de confianza para el intercambio de información entre las organizaciones españolas, fomentando una mayor colaboración con el objetivo de que todas las partes involucradas en este proceso, puedan tomar mejores decisiones para seguir elevando el nivel de ciberseguridad de las empresas nacionales.
¿Quieres formar parte del programa CVE?
Una de las principales misiones de los Root es promover el programa CVE, invitando y creando nuevos CNA bajo su ámbito.
Si quieres más información de cómo formar parte del programa y convertirte en un CNA puedes contactar con nosotros a través del buzón de , desde donde le indicaremos los requisitos necesarios y le guiaremos durante el proceso.
Agradecimientos
Los siguientes investigadores, clasificados por el número de CVE publicados y orden alfabético, han participado en el programa CVE coordinado por el CNA de INCIBE, descubriendo dichos problemas de seguridad y aceptando ser mencionados en este listado, a los que extendemos nuestro agradecimiento:
| Nombre del investigador | CVE publicados |
|---|---|
| Rafael Pedrero | 239 |
| David Utón Amaya (m3n0sd0n4ld) | 25 |
| Aarón Flecha Menéndez | 21 |
| Alejandro Amorín Niño | 17 |
| Jorge Alberto Palma Reyes | 16 |
| Pablo Arias Rodríguez | 16 |
| Sergio Román Hurtado | 16 |
| Guillermo Tuvilla Gómez | 15 |
| Jacinto Moral Matellán | 11 |
| Francisco Javier Medina Munuera | 10 |
| Joel Gámez Molina, @JoelGMSec | 10 |
| Albert Sánchez Miñano | 9 |
| Asier Barranco | 9 |
| David Cámara Galindo | 9 |
| Antonio José Gálvez Sánchez | 8 |
| Gabriel Gonzalez García | 8 |
| Pedro Gabaldón Juliá | 8 |
| Pedro José Navas Pérez | 8 |
| Rubén Barberà Pérez | 8 |
| Gabriel Vía Echezarreta | 7 |
| Miguel Segovia Gil | 6 |
| Tin Pham aka "TF1T" | 6 |
| HADESS | 5 |
| J. Daniel Martinez (dan1t0) | 5 |
| Alejandro Baño Andrés | 4 |
| Ángel Heredia Pérez | 4 |
| Carlos Antonini Cepeda | 4 |
| David Padilla Alvarado | 4 |
| Diego León Casas | 4 |
| Francisco Palma Esteo | 4 |
| Guillermo Garcia Molina | 4 |
| Héctor de Armas Padrón (@3v4SI0N) | 4 |
| Juampa Rodríguez | 4 |
| Luis Martín Liras | 4 |
| Oscar Atienza | 4 |
| Pablo Valle Alvear | 4 |
| Rubén López Herrera | 4 |
| Alexander Huaman Jaimes (@zanganox) | 3 |
| Andrés Elizalde Galdeano | 3 |
| anxx | 3 |
| Enrique Benvenutto Navarro | 3 |
| Konrad Kowal Karp | 3 |
| Luis Vázquez Castaño | 3 |
| Sergio Apellániz | 3 |
| Adriá Bonilla Martin | 2 |
| Adrián Campazas Vega | 2 |
| Alberto Gasulla | 2 |
| Alberto Miguel Diez | 2 |
| Ander Martínez Sola | 2 |
| Carlos Polop Martin | 2 |
| David Álvarez Robles | 2 |
| David Matilla Rebollo | 2 |
| Francisco Díaz-Pache Alonso | 2 |
| Javier Fernandez Beré | 2 |
| Jesús Antón | 2 |
| Jesús Ródenas Huerta, @Marmeus | 2 |
| Joel Serna Moreno | 2 |
| Jorge Manuel Lozano Gómez | 2 |
| José Luis Verdeguer Navarro | 2 |
| @nag0mez | 2 |
| Raúl Caro Teixido | 2 |
| Raúl Fuentes Ferrer | 2 |
| Sergio Corral Cristo | 2 |
| Víctor Bello Cuevas | 2 |
| Victor Fidalgo Villar | 2 |
| Víctor Fresco Perales (@hacefresko) | 2 |
| Adrián Marín Villar | 1 |
| Agustín Picazo (Black Giraffe) | 1 |
| @_Barriuso | 1 |
| Camilo Andrés Bruna | 1 |
| Daniel Collado Tomé | 1 |
| Daniel Martínez Adan (adon90) | 1 |
| David Jiménez | 1 |
| David Manuel Herrera Rodríguez | 1 |
| Edgar Carrillo Egea | 1 |
| Edmundo Figueiras Gomez | 1 |
| Gerard Fuguet Morales | 1 |
| Germán Planells García | 1 |
| Ignacio García Mestre (Br4v3n) | 1 |
| Ignacio Lis Malagón | 1 |
| Iker Loidi Auza | 1 |
| Jakob Pfister | 1 |
| Jan Adamski (johnny1337.pl) | 1 |
| Javier Garcia Antón | 1 |
| Jesús Higueras | 1 |
| Jesús Olmos Gonzales | 1 |
| Jordi Forès | 1 |
| Jorge Gutiérrez Valderrama | 1 |
| Juan González | 1 |
| Julián J. Menéndez | 1 |
| Keval Shah | 1 |
| Milan Duric | 1 |
| Pablo Alcarria Lozano | 1 |
| Petar Alexandrov Nikolov | 1 |
| Raquel Gálvez Farfán | 1 |
| Raúl Vega Arjona | 1 |
| Sergio González González | 1 |
| Tarek Bouali, @iambouali | 1 |
| 6h4ack | 1 |
