INVESTIGAR - DESCUBRIR - REPORTAR

Divulgación Responsable
De Vulnerabilidades
El Centro Nacional de Cibserseguridad de la República Dominicana (CNCS) se compromete a garantizar
la seguridad de las organizaciones gubernamentales mediante la protección de su infraestructura
tecnológica. De acuerdo a lo establecido en el Decreto presidencial 685-22 emitido el 18 de noviembre
2022; se pone a disposición la Política de Divulgación Responsable de Vulnerabilidades, que tiene como
objetivo brindar los lineamientos para realizar descubrimiento de vulnerabilidades y establecer los
canales adecuados para reportar al Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD).

Resumen
La Política de Divulgación Responsable de Vulnerabilidades describe qué sistemas y tipos de investigación están cubiertos,
cómo remitir los informes de vulnerabilidad y cuánto tiempo deben esperar los investigadores de seguridad antes de divulgar
públicamente las vulnerabilidades. La información enviada bajo esta política se utilizará solo con fines defensivos, para
mitigar o remediar vulnerabilidades. Si los hallazgos incluyen vulnerabilidades descubiertas recientemente que afectan a
todos los usuarios de un producto o servicio y no solo a la organización, podemos compartir su informe con la organización
tercera, donde se manejará bajo un proceso coordinado de divulgación de vulnerabilidades. No compartiremos el nombre o
información de contacto del investigador sin previo conocimiento y aprobación del investigador.

LO QUE PUEDES HACER EXCLUSIONES EXPLÍCITAS DEL ACANCE

• Investigaciones dirigidas a los sistemas de tecnologías de
tnformación y servicios asociados con los dominios
*.gob.do, *gov.do.
• Notificar al CSIRT-RD lo antes posible después de descubrir
un problema de seguridad real o potencial.
Quedan fuera del alcance de esta política las
investigaciones de vulnerabilidades en sistemas o servicios
en línea del sector privado, sector financiero, sector militar y
organismos castrenses. Debe coordinarse directamente
con el CSIRT sectorial u órgano regulador de acuerdo con su
política de divulgación o según aplique.

¿QUÉ ACTIVIDADES NO DEBEN HACER?

• NO probar cualquier sistema que no sean los sistemas establecidos en la sección "Alcance" de la Política de Divulgación
Responsable de Vulnerabilidades.
• NO divulgar información de vulnerabilidad, excepto como se establece en las secciones 'Informar vulnerabilidad' y 'Divulgación',
en conformidad con el Decreto 685-22, emitido el 18 de noviembre 2022.
• NO aplicar ingeniería social para obtener información de vulnerabilidades.
• NO ejecutar o intentar llevar a cabo ataques de "Denegación de Servicio (DoS)" o "Agotamiento de recursos".
• NO introducir o ejecutar malware o código malicioso.
• NO probar aplicaciones, sitios web o servicios de terceros que se integren o se vinculen hacia o desde los sistemas de la
Administración Pública o del alcance de la política.
• NO eliminar, alterar, compartir, retener o destruir datos, o hacer que los datos sean inaccesibles.
• NO aprovechar una vulnerabilidad para filtrar datos, establecer acceso a la línea de comandos, establecer una presencia
persistente en los sistemas o "pivotar" a otros sistemas.
• NO instalar o hacer instalar un dispositivo que permita la interceptación, el conocimiento o la grabación de comunicaciones no
accesibles al público.
• NO conservar los datos, incluidos los datos personales, más tiempo del necesario y asegurarse de que estos datos se
mantengan seguros durante este período.

@cncsrd
INVESTIGAR - DESCRUBRIR - REPORTAR

Divulgación Responsable
De Vulnerabilidades
LOS INVESTIGADORES DE SEGURIDAD CIBERNÉTICA DEBEN DE MANERA INMEDIATA:

• Suspender las pruebas que se están ejecutando como parte de su investigación, si durante la misma descubre una
vulnerabilidad o exposición de datos no públicos.

• Notificar sobre el descubrimiento al CSIRT-RD del Centro Nacional de Ciberseguridad según se establece en la sección de
“Informar de una Vulnerabilidad”.

• Eliminar todos los datos no públicos almacenados al informar una vulnerabilidad.

RECONOCIMIENTOS EXCLUSIONES EXPLICITAS DEL ACANCE

Las investigaciones y reportes que cumplan con los criterios
definidos en esta política y que hayan permitido mitigar el
efecto que pudo causar la vulnerabilidad reportada, serán
reconocidos con atribución y publicados en el Programa de
Política de Divulgación Responsable de Vulnerabilidades. En
cumplimiento con los términos establecidos en el acápite
anterior, los nombres del o los investigadores solo se
publicará, con previa autorización.
El Centro Nacional de Ciberseguridad se reserva el derecho,
de limitar, denegar el acceso o autorización y a tomar otras
medidas apropiadas si un usuario viola los Términos de Uso
o se involucra en cualquier actividad que viole los derechos
de cualquier persona o entidad, o sea ilegal, ofensivo,
abusivo, dañino, malicioso o fuera de la buena fe.

ELEMENTOS CLAVES PARA COMPARTIR VÍAS PARA COMPARTIR Y REPORTAR

• Fecha y hora del evento.
• Ubicación donde se descubrió la vulnerabilidad
y el impacto potencial de la explotación.
• Descripción detallada del evento.
• Cantidad de activos y sistemas analizados.
• Nombre de la organización.
• Descripción detallada de los pasos realizados
y necesarios para reproducir la vulnerabilidad.
Antes de iniciar una investigación, debe asegurarse de que un
sistema o servicio está dentro del alcance. Para los fines debe
comunicarse con el CSIRT-RD del Centro Nacional de
Ciberseguridad al correo divulgacionresponsable@csirt.gob.do
Los informes de vulnerabilidad deben ser remitidos por un
remitente identificable a través del correo. Enviar al correo
electrónico seguridad@csirt.gob.do cifrado con PGP. [Descarga
llave PGP]

¿QUÉ ESPERAR?

Al compartir su información de contacto con nosotros, nos comprometemos a coordinar con usted de la manera más
abierta y rápida posible. Mantendremos un diálogo abierto para discutir los avances.

Inmediatamente acusaremos recibo de su informe. En el menor tiempo posible, confirmaremos la existencia de la

vulnerabilidad junto a la organización y seremos lo más transparentes posible sobre los pasos que estamos tomando
durante el proceso de remediación, incluidos los problemas o desafíos que pueden retrasar la resolución.
Mantendremos un diálogo abierto para discutir los avances.
@cncsrd