Ir al contenido principal
Logotipo de Blackberry
Antecedentes del héroe

Política coordinada de divulgación de vulnerabilidades de BlackBerry

BlackBerry se compromete a mejorar continuamente la seguridad de sus productos y se esfuerza por identificar y eliminar de forma proactiva las posibles vulnerabilidades antes de que nuestros productos salgan al mercado.

Sin embargo, a pesar de nuestros mejores esfuerzos, en raras ocasiones pueden aparecer vulnerabilidades en nuestros productos y sitios web. Reconocemos y colaboramos con quienes las detectan y las comunican a BlackBerry para que podamos subsanarlas.

Para colaborar eficazmente con estos colaboradores, hemos documentado estaPolítica coordinada de divulgación de vulnerabilidades de BlackBerrycon el fin de promover la colaboración y la notificación de vulnerabilidades por parte de terceros.

Los puntos clave de esta política incluyen:

  • El proceso de notificación de vulnerabilidades incluye los productos actualmente compatibles.

  • BlackBerry colaborará de buena fe con los descubridores que prueben y comuniquen vulnerabilidades de acuerdo con unas directrices estándar.

  • El Equipo de Respuesta a Incidentes de Seguridad de Productos de BlackBerry (BBPSIRT) colaborará con los descubridores para determinar la forma de divulgar de manera coordinada la vulnerabilidad.

  • En caso de incumplimiento de laPolítica de divulgación coordinada de vulnerabilidades de BlackBerryy de todas las leyes aplicables, BlackBerry se reserva el derecho de emprender todas las acciones legales pertinentes.

Ámbito de aplicación

El proceso de notificación de vulnerabilidades incluye los productos actualmente compatibles con BlackBerry, nuestras filiales y nuestro sitio web.

Para determinar si un producto BlackBerry es compatible, consulte elciclo de vida del soporte técnico del software BlackBerry.

¿Quién debe leer esta política?

Todos los descubridores que detecten, prueben y envíen vulnerabilidades en productos compatibles con BlackBerry o sitios web de BlackBerry deben leer esta política. 

Lo que esperamos de los buscadores

Trabajaremos de buena fe con los descubridores que prueben y envíen vulnerabilidades de acuerdo con las siguientes directrices.

BlackBerry es totalmente compatible con las pruebas de seguridad que: 

  • Se lleva a cabo de manera que se proteja la seguridad y la privacidad de todos nuestros clientes y socios.

  • Cumple con integridad todas las leyes y normativas aplicables en materia de actividades de pruebas de seguridad.

  • Respeta y cumple los acuerdos existentes con BlackBerry y las disposiciones contractuales que regulan los derechos de propiedad intelectual de BlackBerry.

  • Realiza investigaciones únicamente dentro del ámbito definido en esta política.

  • Proporciona a BlackBerry todos los detalles del problema de seguridad en el momento de su divulgación.

  • Permite a BlackBerry tomar medidas correctivas antes de revelar públicamente la vulnerabilidad o divulgarla a terceros. 

Cómo enviar una vulnerabilidad

Si sospecha que ha descubierto una vulnerabilidad de seguridad en un producto o sitio web de BlackBerry, infórmenos poniéndose en contacto con el equipo PSIRT de BlackBerry (BBPSIRT) ensecure@blackberry.com.

Al enviar una vulnerabilidad, proporcione todos los detalles.

Esto incluye:

  • El nombre, la versión y los detalles de configuración del producto afectado.

  • Los nombres de todos los descubridores que participaron en el descubrimiento de la vulnerabilidad,

  • Una descripción de la vulnerabilidad y el entorno en el que se descubrió.

  • Pasos detallados para reproducir la vulnerabilidad, y

  • Capturas de pantalla o vídeo para demostrar la prueba de concepto (PoC).

Qué pueden esperar los buscadores del BBPSIRT

 El BBPSIRT:

  • En un plazo de tres días hábiles norteamericanos, acusar recibo del informe del hallador, abrir un caso en nuestro sistema de gestión de casos y asignar un gestor de casos para realizar el seguimiento de la investigación.

  • Investigar exhaustivamente el primer caso de notificación de una vulnerabilidad única en un producto o sitio web BlackBerry actualmente compatible.

  • Validar la vulnerabilidad notificada. Es posible que nos pongamos en contacto con el descubridor para solicitarle información adicional en esta fase.

  • Comuníquese con la persona que encontró el problema, a través del administrador del caso, para confirmar la existencia de la vulnerabilidad y, si corresponde, el plan asociado para su corrección.

  • Una vez corregida la vulnerabilidad, comunique los detalles al descubridor y

  • Reconocer públicamente al descubridor en nuestro sitio web. El BBPSIRT dará crédito al descubridor o descubridores que figuren en el informe inicial o al descubridor o descubridores con los que el BBPSIRT trabaje directamente para resolver la vulnerabilidad.

Divulgación coordinada y publicación de vulnerabilidades de BBPSIRT

El BBPSIRT emite avisos de seguridad para los productos BlackBerry compatibles y colaborará con los descubridores para determinar la mejor vía para la divulgación coordinada de la vulnerabilidad, lo que puede incluir la emisión de un aviso de seguridad para los productos BlackBerry compatibles. Los avisos de seguridad se hacen públicos y se publican en nuestro sitio web.

Los avisos se publican una vez que las versiones compatibles de los productos han lanzado actualizaciones de software con la vulnerabilidad corregida. Para determinados productos, como QNX® RTOS, se enviará un aviso privado a nuestros clientes antes de que el aviso se comparta públicamente y se publique en nuestro sitio web. El objetivo es garantizar que los clientes que utilizan esos productos tengan la oportunidad de incorporar nuestras correcciones de vulnerabilidades en su software y publicar sus propias versiones de mantenimiento de software.

Aviso legal

BlackBerry se toma muy en serio su obligación de garantizar la seguridad de sus productos y reconoce y agradece el enorme valor que la comunidad de investigación en materia de seguridad aporta a estos esfuerzos, y siempre tratará de actuar de buena fe con cualquier persona que informe de vulnerabilidades de acuerdo con las directrices establecidas por BlackBerry y laPolítica coordinada de divulgación de vulnerabilidades de BlackBerry

Al realizar actividades de investigación de seguridad relacionadas con los productos y servicios de BlackBerry, incluido el envío de un informe de vulnerabilidad de seguridad de BlackBerry, debe cumplir con laPolítica de divulgación coordinada de vulnerabilidades de BlackBerryy todas las leyes aplicables. Si es necesario y/o tras una investigación por parte de BlackBerry, hemos determinado que usted ha incumplido esta política o cualquier ley aplicable, BlackBerry se reserva el derecho de emprender todas las acciones legales pertinentes, incluidas las previstas en la legislación civil y/o penal aplicable, dependiendo de la jurisdicción.

BlackBerry se reserva además el derecho de actualizar esta política periódicamente sin previo aviso para garantizar que siga siendo relevante y esté actualizada con respecto a los cambios tecnológicos, las leyes aplicables y las prácticas comerciales de BlackBerry.

Esta versión de laPolítica de divulgación coordinada de vulnerabilidades de BlackBerrysustituye a todas las versiones anteriores, y todos los aspectos de esta política están sujetos a cambios sin previo aviso, así como a excepciones según cada caso. BlackBerry hará todo lo posible por coordinar todos los niveles de compromiso, pero no puede garantizar un nivel de respuesta concreto.