Instituto Nacional de ciberseguridad. Sección Incibe

INCIBE coordinará a otros organismos competentes en la designación y divulgación de vulnerabilidades a nivel internacional

Fecha de publicación 17/06/2021

Con este nuevo rol, se consolida como agente clave de confianza para el intercambio de información entre las organizaciones españolas, fomentando una mayor colaboración

INCIBE es Root CNA

El Instituto Nacional de Ciberseguridad (INCIBE) ha sido nombrado Root, es decir, coordinador y supervisor de otros CNA (Autoridad de Numeración de CVE), organismos competentes en la designación, publicación y divulgación de vulnerabilidades, que afecten a su sector y actividad.

Las vulnerabilidades son debilidades en la lógica computacional de un dispositivo, localizadas en los componentes de software y hardware. Si estas vulnerabilidades se explotan tendrían un impacto negativo en la confidencialidad, integridad o disponibilidad de esos equipos y la información que contienen. 

Cada CNA es responsable de la asignación y publicación de identificadores CVE en los productos dentro de su alcance, mientras que un Root gestiona un grupo de CNA pertenecientes al mismo dominio o comunidad. Actualmente, JPCERT/CC y a partir de hoy INCIBE, son Root bajo el liderazgo de MITRE, existiendo en total 173 CNA en 29 países que participan activamente en el Programa CVE.

Hay que recordar que el termino CVE (Common Vulnerabilities and Exposures) es el estándar internacional para la identificación de vulnerabilidades existentes en un determinado dispositivo informático. Al descubrirse un problema en dichos dispositivos, se analiza si el error ha sido descubierto con anterioridad y, si no es así, se le asigna un identificador.

Como Root, INCIBE será responsable de velar por la asignación efectiva de los identificadores CVE que asignen todos aquellos CNA que esté coordinando, además de implementar las reglas y directrices del Programa CVE. Por lo que, será la entidad competente de la adhesión e incorporación de nuevos CNA y de la resolución de conflictos dentro de su ámbito de actuación. Asimismo, INCIBE ha ampliado a su ámbito de CNA a aquellos candidatos a CVE reportados a INCIBE por investigadores españoles que no estén dentro del ámbito de otro CNA.

Por su parte, Rosa Díaz, directora general de INCIBE, ha resaltado “la importancia de este nuevo rol del Instituto, siendo la colaboración público-privada uno de los puntos estratégicos que derribarán las fronteras físicas, inexistentes en el mundo digital, con el objetivo de detectar nuevas vulnerabilidades y fortalecer las capacidades de ciberseguridad para que nuestros ciudadanos y nuestras empresas estén más protegidos”.  

Además, “la Junta de CVE se complace en ver cómo INCIBE refuerza su misión de fortalecer la ciberseguridad intensificando sus contribuciones a la comunidad de gestión de vulnerabilidades. Igualmente, es un placer dar la bienvenida a INCIBE y felicitarle por este nuevo rol en el Programa como Root. Esperamos trabajar con el Instituto en los próximos días y años”, señaló Kent Landfield, miembro de la Junta de CVE y Presidente del Grupo de Trabajo de Planificación Estratégica de CVE.

Esta designación de Root CNA consolida a INCIBE como agente clave de confianza para el intercambio de información entre las organizaciones españolas, fomentando una mayor colaboración con el objetivo de que todas las  partes involucradas en este proceso, puedan tomar mejores decisiones para seguir elevando el nivel de ciberseguridad de las empresas nacionales. 

INCIBE como CNA

El pasado mes de enero de 2020, INCIBE fue nombrado CNA por el Programa CVE. De este modo, se convirtió en el único punto de contacto en España para la recepción de vulnerabilidades descubiertas en el ámbito de las Tecnologías de la Información (TI), sistemas industriales y dispositivos de Internet of Thing (IoT).

Para más información, puede consultarse la sección de CNA en la web de INCIBE-CERT.