Divulgación Coordinada de Vulnerabilidades Bajo el CRA: Plantilla de Política y Configuración

El CRA requiere Qué los fabricantes implementen Divulgación coordinada de vulnerabilidades. Esto no es opcional. Es una obligacion legal. Sin embargo, muchas organizaciones no tienen Política CVD o tienen una Qué no cumple las expectativas regulatorias.

Esta Guía proporciona todo lo Qué necesitas: plantillas de Política, marcos de comunicacion con investigadores y orientacion de plazos.

Lo Qué Requiere el CRA

El Anexo I, Parte II del CRA requiere Qué los fabricantes:

"pongan en marcha y apliquen una Política de Divulgación coordinada de vulnerabilidades"

Esto significa:

• Tener una Política: Escrita, publicada, accesible
• Implementarla: Realmente seguir la Política cuando lleguen reportes
• Aplicarla: Aplicacion consistente en todos los productos

El CRA no especifica contenidos exactos de la Política, pero los estandares de la industria y las expectativas regulatorias son claros.

Componentes Esenciales de la Política

Tu Política CVD debe abordar estos elementos:

1. Alcance

¿Qué productos y servicios estan cubiertos?

EJEMPLO DE ALCANCE:
Esta Política aplica a:
- Todos los productos de [Nombre de la Empresa] con elementos digitales
- Firmware y software asociados
- Aplicaciones web en *.empresa.com
- Aplicaciones moviles publicadas por [Nombre de la Empresa]

Esta Política NO aplica a:
- Productos de terceros vendidos pero no fabricados por nosotros
- Servicios proporcionados por socios bajo sus propias politicas

2. Metodos de Contacto

¿Cómo pueden contactarte los investigadores?

Canales requeridos:

• Direccion de email (security@empresa.com)
• Formulario web (preferido, entrada estructurada)
• Archivo security.txt apuntando a metodos de contacto

Mejoras opcionales:

• Clave PGP para reportes cifrados
• Integración con plataforma de bug bounty
• Portal dedicado para investigadores

3. Compromisos de Respuesta

¿Qué pueden esperar los investigadores?

4. Plazo de Divulgación

¿Cuando pueden publicar los investigadores?

Estandar de la industria: 90 dias desde el reporte hasta la Divulgación publica

Tu Política debe especificar:

• Ventana de Divulgación estandar (ej., 90 dias)
• Condiciones de extension (correcciones complejas, multi-vendedor coordinado)
• Condiciones de Divulgación temprana (explotacion activa, vendedor no responde)
• Derecho del investigador a divulgar si no respondes

5. Puerto Seguro Legal

Proteger a investigadores de buena fe de acciones legales.

EJEMPLO DE PUERTO SEGURO:
[Nombre de la Empresa] no emprendera acciones legales contra investigadores Qué:
- Hagan esfuerzos de buena fe para cumplir con esta Política
- Eviten violaciones de privacidad, destruccion de datos e interrupcion de servicios
- No exploten vulnerabilidades mas alla de la demostracion necesaria
- Reporten hallazgos prontamente y permitan tiempo razonable de remediacion
- No divulguen publicamente antes del plazo coordinado

Este puerto seguro cubre actividades Qué de otro modo podrian violar:
- Leyes de fraude y abuso informatico
- Regulaciones de proteccion de datos
- Disposiciones de terminos de servicio

6. Reconocimiento y Recompensas

Cómo reconoces a los investigadores.

Opciones:

• Reconocimiento publico (Salon de la Fama)
• Agradecimiento privado
• Pagos de bug bounty
• Merchandising
• Cartas de referencia

7. Elementos Fuera de Alcance

Lo Qué no quieres Qué reporten (o manejas de forma diferente).

FUERA DE ALCANCE:
- Ataques de ingenieria social contra empleados
- Problemas de seguridad fisica
- Pruebas de denegacion de servicio
- Reportes de spam o phishing
- Problemas en servicios de terceros Qué no controlamos
- Vulnerabilidades reportadas previamente

Plantilla Completa de Política CVD

Usa esta plantilla Cómo punto de partida. Personaliza para tu organización.

# Política de Divulgación de Vulnerabilidades de [Nombre de la Empresa]

## Introduccion

[Nombre de la Empresa] esta comprometida con la seguridad de nuestros productos
y la proteccion de nuestros clientes. Valoramos la comunidad de investigacion
de seguridad y damos la bienvenida a la Divulgación responsable de vulnerabilidades.

## Alcance

Esta Política aplica a:
- Todos los productos fabricados por [Nombre de la Empresa]
- Software y firmware en nuestros productos
- Propiedades web en *.empresa.com
- Aplicaciones moviles publicadas por [Nombre de la Empresa]

## Cómo Reportar

**Metodo Preferido:** Enviar via nuestro formulario seguro en:
https://empresa.com/security/report

**Alternativa:** Email security@empresa.com
- Clave PGP: [ID de clave o enlace a clave]

**Referencia:** Nuestro archivo security.txt esta en:
https://empresa.com/.well-known/security.txt

## Qué Incluir

Por favor proporciona:
- Producto(s) y version(es) afectados
- Descripcion de la vulnerabilidad
- Pasos para reproducir
- Evaluación de impacto potencial
- Tu remediacion sugerida (opcional)
- Tu informacion de contacto para seguimiento

## Nuestros Compromisos

| Plazo | Accion |
|-------|--------|
| 3 dias laborables | Confirmacion de recepcion de tu reporte |
| 10 dias laborables | Evaluación inicial y calificacion de severidad |
| Cada 14 dias | Actualizacion de estado hasta la resolucion |
| 90 dias | Objetivo de resolucion para la mayoria de vulnerabilidades |

Podemos solicitar extensiones para vulnerabilidades complejas Qué requieran
correcciones coordinadas entre multiples productos o vendedores.

## Divulgación Coordinada

Seguimos un plazo de Divulgación de 90 dias:
- Dia 0: Reportas la vulnerabilidad
- Dias 1-90: Trabajamos en la remediacion
- Dia 90: Divulgación publica coordinada

**Extensiones:** Podemos solicitar hasta 30 dias adicionales para:
- Correcciones complejas de multiples componentes
- Vulnerabilidades de hardware Qué requieren Coordinación de cadena de suministro
- Coordinación multi-vendedor

**Divulgación Temprana:** Puedes divulgar antes si:
- No respondemos dentro de 14 dias
- Indicamos Qué no tenemos intencion de corregir
- La vulnerabilidad esta siendo activamente explotada

## Puerto Seguro

No emprenderemos acciones legales contra investigadores Qué:
- Actuen de buena fe y cumplan con esta Política
- Eviten acceder, modificar o eliminar datos de usuarios
- No interrumpan nuestros servicios ni danen a nuestros clientes
- Reporten vulnerabilidades prontamente
- Permitan tiempo razonable para remediacion antes de la Divulgación

Este puerto seguro aplica a potenciales violaciones de:
- Leyes de uso indebido de ordenadores
- Nuestros terminos de servicio
- Requisitos de proteccion de datos (para acceso incidental durante investigacion)

## Reconocimiento

Mantenemos un Salon de la Fama de Seguridad en empresa.com/security/gracias
reconociendo a investigadores Qué han ayudado a mejorar nuestra seguridad.

Actualmente no operamos un programa de bug bounty pagado.
[O: Ofrecemos recompensas a traves de [plataforma]. Ver [enlace] para detalles.]

## Fuera de Alcance

Lo siguiente esta fuera del alcance de esta Política:
- Ingenieria social de empleados o clientes
- Ataques fisicos a nuestras instalaciones
- Ataques de denegacion de servicio
- Hallazgos de escaneres automatizados sin impacto demostrado
- Problemas en servicios de terceros
- Vulnerabilidades reportadas previamente

## Contacto

Equipo de Seguridad: security@empresa.com
Preguntas sobre la Política: security-policy@empresa.com
Clave PGP: [enlace]

Ultima Actualizacion: [Fecha]

Lista de Verificación de Implementacion

Configuración de Infraestructura

LISTA DE Verificación DE INFRAESTRUCTURA CVD

CANALES DE CONTACTO:
[ ] security@empresa.com configurado y monitorizado
[ ] Formulario web creado con campos requeridos
[ ] Clave PGP generada y publicada
[ ] Archivo security.txt desplegado (ver Guía separada)
[ ] Pagina /security o /security/report creada

PROCESO INTERNO:
[ ] Equipo de triaje identificado
[ ] Ruta de escalacion definida
[ ] Sistema de seguimiento de SLA implementado
[ ] Respuestas de plantilla preparadas
[ ] Proceso de Coordinación de Divulgación documentado

Documentación:
[ ] Política CVD escrita y aprobada
[ ] Política publicada en sitio web
[ ] Procedimientos internos de manejo documentados
[ ] Plantillas de comunicacion con investigadores listas
[ ] Pagina de Salon de la Fama creada (opcional)

PRUEBAS:
[ ] Reporte de prueba enviado internamente
[ ] Seguimiento de tiempo de respuesta verificado
[ ] Proceso de escalacion probado
[ ] Coordinación de Divulgación probada

Plantillas de Comunicacion con Investigadores

Confirmacion de recepcion (Dia 0-3):

Asunto: [Ticket #] - Reporte de Vulnerabilidad Recibido

Estimado/a [Investigador],

Gracias por reportar una potencial vulnerabilidad de seguridad en
[Nombre del Producto]. Hemos recibido tu reporte y le hemos asignado
el número de seguimiento [Ticket #].

Nuestro equipo de seguridad revisara tu envio y proporcionara una
Evaluación inicial dentro de 10 dias laborables.

Por favor referencia [Ticket #] en correspondencia futura.

¿Preguntas? Responde a este email o contacta security@empresa.com.

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Evaluación Inicial (Dia 10):

Asunto: [Ticket #] - Evaluación Inicial Completa

Estimado/a [Investigador],

Hemos completado nuestra Evaluación inicial de la vulnerabilidad
reportada en [Nombre del Producto].

Resumen de Evaluación:
- Severidad: [Critica/Alta/Media/Baja]
- Estado: [Confirmada/Bajo Investigacion/No Reproducible]
- Versiones Afectadas: [Lista]
- Objetivo de Resolucion: [Fecha, tipicamente dentro de 90 dias]

Proximos Pasos:
[Descripcion del enfoque de remediacion planificado]

Proporcionaremos actualizaciones de estado cada 14 dias. Fecha objetivo
de Divulgación actual: [Fecha].

Gracias por ayudar a mejorar nuestra seguridad.

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Notificación de Resolucion:

Asunto: [Ticket #] - Vulnerabilidad Resuelta

Estimado/a [Investigador],

Hemos resuelto la vulnerabilidad Qué reportaste en [Nombre del Producto].

Detalles de la Resolucion:
- Version de Correccion: [número de version]
- Fecha de Lanzamiento: [Fecha]
- ID de CVE: [Si se asigno]

Divulgación Coordinada:
Planeamos publicar un aviso de seguridad el [Fecha].

¿Te gustaria ser acreditado en nuestro aviso?
[ ] Si, acreditarme Cómo: [Nombre/Handle]
[ ] Si, acreditarme anonimamente
[ ] No necesito credito

Gracias por tu Divulgación responsable. Tu contribucion
ha sido anadida a nuestro Salon de la Fama de Seguridad en [URL].

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Manejo de Escenarios Comunes

Escenario 1: Investigador Exige Divulgación Inmediata

Situacion: El investigador insiste en plazo de 30 dias en lugar de 90.

Respuesta:

1. Explica tu plazo estandar y la razon (correccion completa, pruebas)
2. Ofrece compromiso si es posible (60 dias con actualizaciones de estado)
3. Si el investigador insiste, escala internamente
4. Documenta el desacuerdo y tus esfuerzos de buena fe
5. Prioriza la correccion. Puede Qué necesites acelerar

Escenario 2: Reporte Duplicado

Situacion: Vulnerabilidad ya conocida o previamente reportada.

Respuesta:

Asunto: [Ticket #] - Reporte Duplicado

Estimado/a [Investigador],

Gracias por tu reporte sobre [tipo de vulnerabilidad] en
[Nombre del Producto].

Este problema fue reportado previamente y actualmente esta siendo
abordado. Ticket original: [Referencia].

Resolucion esperada: [Fecha]

Aunque no podemos ofrecer reconocimiento por reportes duplicados,
apreciamos tu atencion a nuestra seguridad.

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Escenario 3: Reporte Fuera de Alcance

Situacion: El reporte cubre algo fuera de tu alcance CVD.

Respuesta:

Asunto: [Ticket #] - Fuera de Alcance

Estimado/a [Investigador],

Gracias por tu reporte. Tras revision, hemos determinado Qué este
problema cae fuera del alcance de nuestra Política de Divulgación
de vulnerabilidades.

Razon: [ej., "Servicio de terceros no controlado por nosotros"]

Si crees Qué esta Evaluación es incorrecta, por favor responde con
contexto adicional.

Para problemas con [tercero], por favor contactalos en [contacto].

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Escenario 4: Explotacion Activa Descubierta

Situacion: Durante la investigacion, descubres Qué la vulnerabilidad esta siendo explotada.

Respuesta:

1. Activar Notificación a ENISA (requisito de 24 horas)
2. Informar al investigador del cambio de situacion
3. Acelerar remediacion
4. Considerar Divulgación coordinada temprana
5. Preparar Notificación a clientes

Asunto: [Ticket #] - Actualizacion Urgente

Estimado/a [Investigador],

Hemos descubierto explotacion activa de la vulnerabilidad Qué
reportaste. Estamos:

1. Acelerando nuestro cronograma de remediacion
2. Notificando a las autoridades relevantes segun requerido
3. Preparando comunicacion con clientes

Necesitamos coordinar la Divulgación urgentemente. Por favor contactanos en
[telefono/canal seguro] para discutir el cronograma.

NO divulgues publicamente en este momento. Hacerlo podria aumentar
el dano a los usuarios antes de Qué los parches esten disponibles.

Contacto urgente: [Telefono/Signal]

Equipo de Seguridad de [Nombre de la Empresa]

Integración de CVD con Notificación a ENISA

Tu proceso CVD debe conectarse con tu obligacion de Notificación a ENISA:

LLEGA REPORTE DE INVESTIGADOR
         │
         ▼
    TRIAJE Y Evaluación
         │
         ├── Sin explotacion activa ──→ Proceso CVD estandar
         │                              (plazo de 90 dias)
         │
         └── Explotacion activa ──→ ACTIVAR Notificación ENISA
              detectada                    │
                                          ▼
                                    Alerta Temprana 24h
                                          │
                                          ▼
                                    Informe Detallado 72h
                                          │
                                          ▼
                                    CVD Acelerado
                                    (coordinar con ENISA)

Errores Comunes

Sin Política Publicada

Problema: La Política existe internamente pero no es publica.

Solucion: Publica en una URL descubrible. Los investigadores no pueden seguir una Política Qué no pueden encontrar.

Plazos Irrealistas

Problema: Prometer respuesta en 7 dias cuando no puedes cumplir.

Solucion: Establece compromisos alcanzables. Promete menos, cumple mas.

Puerto Seguro Faltante

Problema: Sin proteccion legal para investigadores.

Solucion: Anade lenguaje de puerto seguro explicito. Sin el, los investigadores pueden no reportarte.

Tratar a Investigadores Cómo Amenazas

Problema: Amenazas legales, respuestas agresivas, ignorar reportes.

Solucion: Los investigadores te estan ayudando. Tratalos Cómo socios.

Sin Proceso Interno

Problema: Política publicada pero nadie sabe Cómo manejar reportes.

Solucion: Documenta procedimientos internos. Entrena al equipo. Prueba con simulaciones.

Lista de Verificación de Política CVD

LISTA DE Verificación DE COMPLETITUD DE Política CVD

ALCANCE:
[ ] Productos cubiertos listados
[ ] Elementos fuera de alcance definidos
[ ] Alcance geografico claro (si relevante)

CONTACTO:
[ ] Direccion de email proporcionada
[ ] Formulario web disponible
[ ] Clave PGP publicada
[ ] security.txt desplegado
[ ] Canales de respuesta monitorizados

PLAZOS:
[ ] Plazo de confirmacion indicado
[ ] Plazo de Evaluación indicado
[ ] Objetivo de resolucion indicado
[ ] Plazo de Divulgación indicado
[ ] Condiciones de extension definidas

LEGAL:
[ ] Declaración de puerto seguro incluida
[ ] Actividades cubiertas definidas
[ ] Requisitos de buena fe indicados

RECONOCIMIENTO:
[ ] Proceso de credito explicado
[ ] Salon de la Fama (si aplica)
[ ] Programa de bounty (si aplica)

PROCESO:
[ ] Triaje interno documentado
[ ] Ruta de escalacion definida
[ ] Respuestas de plantilla listas
[ ] Integración con ENISA planificada

Guías Relacionadas

• Configuración de security.txt para Cumplimiento CRA
• Notificación de Vulnerabilidades a ENISA: El Requisito de 24 Horas
• Guía de Sanciones y Aplicación del CRA

Cómo Ayuda CRA Evidence

CRA Evidence incluye soporte de flujo de trabajo CVD:

• Seguimiento de recepcion de reportes: Registra y rastrea reportes de investigadores
• Gestion de plazos: Seguimiento automatico de SLA
• Integración ENISA: Activar Notificación cuando se detecta explotacion
• Documentación: Pista de auditoria para cumplimiento regulatorio

Establece tu proceso CVD con app.craevidence.com.

Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados.