Divulgación coordinada de vulnerabilidades bajo el CRA: plantilla de política y configuración

El CRA requiere que los fabricantes implementen Divulgación coordinada de vulnerabilidades. Esto no es opcional. Es una obligación legal. Sin embargo, muchas organizaciones no tienen Política CVD o tienen una que no cumple las expectativas regulatorias.

Esta guía proporciona todo lo que necesitas: plantillas de Política, marcos de comunicación con investigadores y orientación de plazos.

Lo que requiere el CRA

El Anexo I, Parte II del CRA requiere que los fabricantes:

"pongan en marcha y apliquen una Política de Divulgación coordinada de vulnerabilidades"

Esto significa:

• Tener una Política: Escrita, publicada, accesible
• Implementarla: Realmente seguir la Política cuando lleguen notificaciones
• Aplicarla: Aplicación consistente en todos los productos

El CRA no especifica contenidos exactos de la Política, pero los estándares de la industria y las expectativas regulatorias son claros.

Componentes esenciales de la política

Tu Política CVD debe abordar estos elementos:

1. Alcance

¿Qué productos y servicios están cubiertos?

EJEMPLO DE ALCANCE:
Esta Política se aplica a:
- Todos los productos de [Nombre de la Empresa] con elementos digitales
- Firmware y software asociados
- Aplicaciones web en *.empresa.com
- Aplicaciones móviles publicadas por [Nombre de la Empresa]

Esta Política NO se aplica a:
- Productos de terceros vendidos pero no fabricados por nosotros
- Servicios proporcionados por socios bajo sus propias políticas

2. Métodos de contacto

¿Cómo pueden contactarte los investigadores?

Canales requeridos:

• Dirección de email (security@empresa.com)
• Formulario web (preferido, entrada estructurada)
• Archivo security.txt apuntando a métodos de contacto

Mejoras opcionales:

• Clave PGP para notificaciones cifradas
• Integración con plataforma de bug bounty
• Portal dedicado para investigadores

3. Compromisos de respuesta

¿Qué pueden esperar los investigadores?

4. Plazo de divulgación

¿Cuándo pueden publicar los investigadores?

Estándar de la industria: 90 días desde la notificación hasta la Divulgación pública

Tu Política debe especificar:

• Ventana de Divulgación estándar (ej., 90 días)
• Condiciones de extensión (correcciones complejas, multi-vendedor coordinado)
• Condiciones de Divulgación temprana (explotación activa, vendedor no responde)
• Derecho del investigador a divulgar si no respondes

5. Puerto seguro legal

Proteger a investigadores de buena fe de acciones legales.

EJEMPLO DE PUERTO SEGURO:
[Nombre de la Empresa] no emprenderá acciones legales contra investigadores que:
- Hagan esfuerzos de buena fe para cumplir con esta Política
- Eviten violaciones de privacidad, destrucción de datos e interrupción de servicios
- No exploten vulnerabilidades más allá de la demostración necesaria
- Notifiquen hallazgos prontamente y permitan tiempo razonable de remediación
- No divulguen públicamente antes del plazo coordinado

Este puerto seguro cubre actividades que de otro modo podrían violar:
- Leyes de fraude y abuso informático
- Regulaciones de protección de datos
- Disposiciones de términos de servicio

6. Reconocimiento y recompensas

Cómo reconoces a los investigadores.

Opciones:

• Reconocimiento público (Salón de la Fama)
• Agradecimiento privado
• Pagos de bug bounty
• Merchandising
• Cartas de referencia

7. Elementos fuera de alcance

Lo que no quieres que notifiquen (o gestionas de forma diferente).

FUERA DE ALCANCE:
- Ataques de ingeniería social contra empleados
- Problemas de seguridad física
- Pruebas de denegación de servicio
- Notificaciones de spam o phishing
- Problemas en servicios de terceros que no controlamos
- Vulnerabilidades notificadas previamente

Plantilla completa de política CVD

Usa esta plantilla como punto de partida. Personaliza para tu organización.

# Política de Divulgación de Vulnerabilidades de [Nombre de la Empresa]

## Introducción

[Nombre de la Empresa] está comprometida con la seguridad de nuestros productos
y la protección de nuestros clientes. Valoramos la comunidad de investigación
de seguridad y damos la bienvenida a la Divulgación responsable de vulnerabilidades.

## Alcance

Esta Política se aplica a:
- Todos los productos fabricados por [Nombre de la Empresa]
- Software y firmware en nuestros productos
- Propiedades web en *.empresa.com
- Aplicaciones móviles publicadas por [Nombre de la Empresa]

## Cómo notificar

**Método Preferido:** Enviar via nuestro formulario seguro en:
https://empresa.com/security/report

**Alternativa:** Email security@empresa.com
- Clave PGP: [ID de clave o enlace a clave]

**Referencia:** Nuestro archivo security.txt está en:
https://empresa.com/.well-known/security.txt

## Qué incluir

Por favor proporciona:
- Producto(s) y versión(es) afectados
- Descripción de la vulnerabilidad
- Pasos para reproducir
- Evaluación de impacto potencial
- Tu remediación sugerida (opcional)
- Tu información de contacto para seguimiento

## Nuestros compromisos

| Plazo | Acción |
|-------|--------|
| 3 días laborables | Confirmación de recepción de tu notificación |
| 10 días laborables | Evaluación inicial y calificación de severidad |
| Cada 14 días | Actualización de estado hasta la resolución |
| 90 días | Objetivo de resolución para la mayoría de vulnerabilidades |

Podemos solicitar extensiones para vulnerabilidades complejas que requieran
correcciones coordinadas entre múltiples productos o vendedores.

## Divulgación coordinada

Seguimos un plazo de Divulgación de 90 días:
- Día 0: Notificas la vulnerabilidad
- Días 1-90: Trabajamos en la remediación
- Día 90: Divulgación pública coordinada

**Extensiones:** Podemos solicitar hasta 30 días adicionales para:
- Correcciones complejas de múltiples componentes
- Vulnerabilidades de hardware que requieren Coordinación de cadena de suministro
- Coordinación multi-vendedor

**Divulgación temprana:** Puedes divulgar antes si:
- No respondemos dentro de 14 días
- Indicamos que no tenemos intención de corregir
- La vulnerabilidad está siendo activamente explotada

## Puerto seguro

No emprenderemos acciones legales contra investigadores que:
- Actúen de buena fe y cumplan con esta Política
- Eviten acceder, modificar o eliminar datos de usuarios
- No interrumpan nuestros servicios ni dañen a nuestros clientes
- Notifiquen vulnerabilidades prontamente
- Permitan tiempo razonable para remediación antes de la Divulgación

Este puerto seguro se aplica a potenciales violaciones de:
- Leyes de uso indebido de ordenadores
- Nuestros términos de servicio
- Requisitos de protección de datos (para acceso incidental durante investigación)

## Reconocimiento

Mantenemos un Salón de la Fama de Seguridad en empresa.com/security/gracias
reconociendo a investigadores que han ayudado a mejorar nuestra seguridad.

Actualmente no operamos un programa de bug bounty pagado.
[O: Ofrecemos recompensas a través de [plataforma]. Ver [enlace] para detalles.]

## Fuera de alcance

Lo siguiente está fuera del alcance de esta Política:
- Ingeniería social de empleados o clientes
- Ataques físicos a nuestras instalaciones
- Ataques de denegación de servicio
- Hallazgos de escáneres automatizados sin impacto demostrado
- Problemas en servicios de terceros
- Vulnerabilidades notificadas previamente

## Contacto

Equipo de Seguridad: security@empresa.com
Preguntas sobre la Política: security-policy@empresa.com
Clave PGP: [enlace]

Última Actualización: [Fecha]

Lista de verificación de implementación

Configuración de infraestructura

LISTA DE VERIFICACIÓN DE INFRAESTRUCTURA CVD

CANALES DE CONTACTO:
[ ] security@empresa.com configurado y monitorizado
[ ] Formulario web creado con campos requeridos
[ ] Clave PGP generada y publicada
[ ] Archivo security.txt desplegado (ver guía separada)
[ ] Página /security o /security/report creada

PROCESO INTERNO:
[ ] Equipo de triaje identificado
[ ] Ruta de escalación definida
[ ] Sistema de seguimiento de SLA implementado
[ ] Respuestas de plantilla preparadas
[ ] Proceso de Coordinación de Divulgación documentado

DOCUMENTACIÓN:
[ ] Política CVD escrita y aprobada
[ ] Política publicada en sitio web
[ ] Procedimientos internos de gestión documentados
[ ] Plantillas de comunicación con investigadores listas
[ ] Página de Salón de la Fama creada (opcional)

PRUEBAS:
[ ] Notificación de prueba enviada internamente
[ ] Seguimiento de tiempo de respuesta verificado
[ ] Proceso de escalación probado
[ ] Coordinación de Divulgación probada

Plantillas de comunicación con investigadores

Confirmación de recepción (Día 0-3):

Asunto: [Ticket #] - Notificación de vulnerabilidad recibida

Estimado/a [Investigador],

Gracias por notificar una potencial vulnerabilidad de seguridad en
[Nombre del Producto]. Hemos recibido tu notificación y le hemos asignado
el número de seguimiento [Ticket #].

Nuestro equipo de seguridad revisará tu envío y proporcionará una
Evaluación inicial dentro de 10 días laborables.

Por favor referencia [Ticket #] en correspondencia futura.

¿Preguntas? Responde a este email o contacta security@empresa.com.

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Evaluación inicial (Día 10):

Asunto: [Ticket #] - Evaluación inicial completa

Estimado/a [Investigador],

Hemos completado nuestra evaluación inicial de la vulnerabilidad
notificada en [Nombre del Producto].

Resumen de Evaluación:
- Severidad: [Crítica/Alta/Media/Baja]
- Estado: [Confirmada/Bajo Investigación/No Reproducible]
- Versiones Afectadas: [Lista]
- Objetivo de Resolución: [Fecha, típicamente dentro de 90 días]

Próximos Pasos:
[Descripción del enfoque de remediación planificado]

Proporcionaremos actualizaciones de estado cada 14 días. Fecha objetivo
de Divulgación actual: [Fecha].

Gracias por ayudar a mejorar nuestra seguridad.

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Notificación de Resolución:

Asunto: [Ticket #] - Vulnerabilidad Resuelta

Estimado/a [Investigador],

Hemos resuelto la vulnerabilidad que notificaste en [Nombre del Producto].

Detalles de la Resolución:
- Versión de Corrección: [número de versión]
- Fecha de Lanzamiento: [Fecha]
- ID de CVE: [Si se asignó]

Divulgación Coordinada:
Planeamos publicar un aviso de seguridad el [Fecha].

¿Te gustaría ser acreditado en nuestro aviso?
[ ] Sí, acredítame como: [Nombre/Handle]
[ ] Sí, acredítame anónimamente
[ ] No necesito crédito

Gracias por tu Divulgación responsable. Tu contribución
ha sido añadida a nuestro Salón de la Fama de Seguridad en [URL].

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Gestión de escenarios comunes

Escenario 1: investigador exige divulgación inmediata

Situación: El investigador insiste en plazo de 30 días en lugar de 90.

Respuesta:

1. Explica tu plazo estándar y la razón (corrección completa, pruebas)
2. Ofrece compromiso si es posible (60 días con actualizaciones de estado)
3. Si el investigador insiste, escala internamente
4. Documenta el desacuerdo y tus esfuerzos de buena fe
5. Prioriza la corrección. Puede que necesites acelerar

Escenario 2: notificación duplicada

Situación: Vulnerabilidad ya conocida o previamente notificada.

Respuesta:

Asunto: [Ticket #] - Notificación duplicada

Estimado/a [Investigador],

Gracias por tu notificación sobre [tipo de vulnerabilidad] en
[Nombre del Producto].

Este problema fue notificado previamente y actualmente está siendo
abordado. Ticket original: [Referencia].

Resolución esperada: [Fecha]

Aunque no podemos ofrecer reconocimiento por notificaciones duplicadas,
apreciamos tu atención a nuestra seguridad.

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Escenario 3: notificación fuera de alcance

Situación: La notificación cubre algo fuera de tu alcance CVD.

Respuesta:

Asunto: [Ticket #] - Fuera de Alcance

Estimado/a [Investigador],

Gracias por tu notificación. Tras la revisión, hemos determinado que este
problema cae fuera del alcance de nuestra Política de Divulgación
de vulnerabilidades.

Razón: [ej., "Servicio de terceros no controlado por nosotros"]

Si crees que esta evaluación es incorrecta, por favor responde con
contexto adicional.

Para problemas con [tercero], por favor contáctalos en [contacto].

Saludos cordiales,
Equipo de Seguridad de [Nombre de la Empresa]

Escenario 4: explotación activa descubierta

Situación: Durante la investigación, descubres que la vulnerabilidad está siendo explotada.

Respuesta:

1. Activar Notificación a ENISA (requisito de 24 horas)
2. Informar al investigador del cambio de situación
3. Acelerar remediación
4. Considerar Divulgación coordinada temprana
5. Preparar Notificación a clientes

Asunto: [Ticket #] - Actualización Urgente

Estimado/a [Investigador],

Hemos descubierto explotación activa de la vulnerabilidad que
notificaste. Estamos:

1. Acelerando nuestro cronograma de remediación
2. Notificando a las autoridades relevantes según requerido
3. Preparando comunicación con clientes

Necesitamos coordinar la Divulgación urgentemente. Por favor contáctanos en
[teléfono/canal seguro] para discutir el cronograma.

NO divulgues públicamente en este momento. Hacerlo podría aumentar
el daño a los usuarios antes de que los parches estén disponibles.

Contacto urgente: [Teléfono/Signal]

Equipo de Seguridad de [Nombre de la Empresa]

Integración de CVD con notificación a ENISA

Tu proceso CVD debe conectarse con tu obligación de notificación a ENISA:

LLEGA NOTIFICACIÓN DE INVESTIGADOR
         │
         ▼
    TRIAJE Y Evaluación
         │
         ├── Sin explotación activa ──→ Proceso CVD estándar
         │                              (plazo de 90 días)
         │
         └── Explotación activa ──→ ACTIVAR Notificación ENISA
              detectada                    │
                                          ▼
                                    Alerta Temprana 24h
                                          │
                                          ▼
                                    Informe Detallado 72h
                                          │
                                          ▼
                                    CVD Acelerado
                                    (coordinar con ENISA)

Errores comunes

Sin política publicada

Problema: La Política existe internamente pero no es pública.

Solución: Publica en una URL descubrible. Los investigadores no pueden seguir una Política que no pueden encontrar.

Plazos irrealistas

Problema: Prometer respuesta en 7 días cuando no puedes cumplir.

Solución: Establece compromisos alcanzables. Promete menos, cumple más.

Puerto seguro faltante

Problema: Sin protección legal para investigadores.

Solución: Añade lenguaje de puerto seguro explícito. Sin él, los investigadores pueden no notificarte.

Tratar a investigadores como amenazas

Problema: Amenazas legales, respuestas agresivas, ignorar notificaciones.

Solución: Los investigadores te están ayudando. Trátalos como socios.

Sin proceso interno

Problema: Política publicada pero nadie sabe cómo gestionar notificaciones.

Solución: Documenta procedimientos internos. Entrena al equipo. Prueba con simulaciones.

Lista de verificación de política CVD

LISTA DE VERIFICACIÓN DE COMPLETITUD DE Política CVD

ALCANCE:
[ ] Productos cubiertos listados
[ ] Elementos fuera de alcance definidos
[ ] Alcance geográfico claro (si relevante)

CONTACTO:
[ ] Dirección de email proporcionada
[ ] Formulario web disponible
[ ] Clave PGP publicada
[ ] security.txt desplegado
[ ] Canales de respuesta monitorizados

PLAZOS:
[ ] Plazo de confirmación indicado
[ ] Plazo de evaluación indicado
[ ] Objetivo de resolución indicado
[ ] Plazo de Divulgación indicado
[ ] Condiciones de extensión definidas

LEGAL:
[ ] Declaración de puerto seguro incluida
[ ] Actividades cubiertas definidas
[ ] Requisitos de buena fe indicados

RECONOCIMIENTO:
[ ] Proceso de crédito explicado
[ ] Salón de la Fama (si aplica)
[ ] Programa de bounty (si aplica)

PROCESO:
[ ] Triaje interno documentado
[ ] Ruta de escalación definida
[ ] Respuestas de plantilla listas
[ ] Integración con ENISA planificada

Guías relacionadas

• Configuración de security.txt para Cumplimiento CRA
• Notificación de Vulnerabilidades a ENISA: El Requisito de 24 Horas
• Guía de Sanciones y Aplicación del CRA

Cómo ayuda CRA Evidence

CRA Evidence incluye soporte de flujo de trabajo CVD:

• Seguimiento de recepción de notificaciones: Registra y rastrea notificaciones de investigadores
• Gestión de plazos: Seguimiento automático de SLA
• Integración ENISA: Activar Notificación cuando se detecta explotación
• Documentación: Pista de auditoría para cumplimiento regulatorio

Establece tu proceso CVD con craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados.