Ir al contenido principal
Cerrar sesión

Le damos la bienvenida a Dell

Mi cuenta
  • Realice pedidos rápida y fácilmente.
  • Vea los pedidos y haga el seguimiento del estado del envío.
  • Cree una lista de sus productos y acceda a ella
  • Gestione sus sitios, productos y contactos a nivel de producto de Dell EMC con la administración de empresa.
Iniciar sesión Crear una cuenta Inicio de sesión en Premier Iniciar sesión en el programa para socios
Contáctenos

Sus carritos de Dell.com

Política de respuesta ante vulnerabilidades de Dell

Introducción

Dell se esfuerza en ayudar a los clientes a minimizar los riesgos asociados a las vulnerabilidades de seguridad en nuestros productos. Nuestro objetivo es proporcionar a los clientes información oportuna, orientación y opciones de mitigación para hacer frente a las vulnerabilidades. El equipo de respuesta ante incidentes de seguridad en productos de Dell (Dell PSIRT) es responsable de coordinar la respuesta y la divulgación de todas las vulnerabilidades de producto que afectan a los productos Dell.

Dell participa activamente en diversas iniciativas de la comunidad (en inglés), entre ellas, el Foro de Equipos de Respuesta y Respuesta a Incidentes (FIRST)(en inglés) y el Foro de Garantía de Software para la Excelencia en el Código (SAFECode)(en inglés). Nuestros procesos y procedimientos se ajustan a la infraestructura de servicios FIRST PSIRT (en inglés), así como a otras normas, como la ISO/IEC 29147:2018 (en inglés)y la ISO/IEC 30111:2019 (en inglés).

Informes de tratamiento de la vulnerabilidad

Dell valora a los socios del sector e investigadores de seguridad, aprecia todas las contribuciones a nuestras iniciativas de seguridad y anima a la divulgación responsable y coordinada, ya que la seguridad de nuestros clientes es la prioridad primordial. Nuestro objetivo es garantizar que los recursos y las estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Dell y trabajar con proveedores externos cuando la corrección requiera de su colaboración.

De acuerdo con esta política, toda la información divulgada acerca de nuevas vulnerabilidades se considerará confidencial y solo se compartirá entre Dell y la parte que la notifica (si la información no es ya de conocimiento público) hasta que haya una solución disponible y se hayan coordinado las actividades de divulgación.

Corrección de la vulnerabilidad

Después de investigar y validar una vulnerabilidad notificada, intentaremos desarrollar y cualificar la corrección adecuada para los productos que estén bajo soporte activo de Dell. Las correcciones toman una o más de las siguientes formas:

  • una nueva versión del producto afectado suministrado por Dell;
  • un parche proporcionado por Dell que se puede instalar sobre el producto afectado;
  • instrucciones para descargar e instalar una actualización o un parche de un proveedor externo necesario para mitigar la vulnerabilidad; o
  • un procedimiento de corrección o una solución alternativa publicada por Dell que indique a los usuarios las medidas que deben llevar a cabo para mitigar la vulnerabilidad.

Dell hace todo lo posible para proporcionar el remedio o la acción correctiva en el menor tiempo comercialmente razonable. Los plazos de respuesta dependen de muchos factores, entre los que se incluyen los siguientes:

  • gravedad de la vulnerabilidad;
  • complejidad de la vulnerabilidad;
  • alcance de los daños;
  • iniciativa o impacto a corregir; y
  • ciclo de vida del producto.

Cómo valora Dell la gravedad y el impacto de las vulnerabilidades

Dell utiliza la versión 3.1 del estándar Common Vulnerability Scoring System (en inglés)(CVSS v3.1) para comunicar las características de las vulnerabilidades que se detectan en los productos Dell. FIRST es la organización encargada del mantenimiento del estándar.

El indicador de CVSS proporciona un método numérico para cuantificar la gravedad de la vulnerabilidad y considera varios factores, entre los que se incluyen el nivel de esfuerzo necesario para aprovechar una vulnerabilidad o el posible impacto que podría darse en el caso de que esta se aproveche. Dell resume el impacto evaluado de una vulnerabilidad mediante un indicador numérico, una cadena de vectores y una representación cualitativa de la gravedad (es decir, por medio de valores de gravedad crítica, alta, media o baja), de acuerdo con la escala que se proporciona a continuación:

Gravedad

Indicador de CVSS v3.1

Crítica

De 9,0 a 10

Alta

De 7,0 a 8,9

Media

De 4,0 a 6,9

Baja

De 0,1 a 3,9

Dell recomienda a todos los clientes que utilicen esta información para calcular las métricas ambientales que puedan ser relevantes para su entorno con el fin de evaluar con precisión el riesgo específico que corren sus activos o la implementación de productos Dell.

Tenga en cuenta que es habitual que la evaluación de una vulnerabilidad por parte de Dell, el indicador de CVSS o la cadena de vectores difieran de las proporcionadas por otras fuentes. En caso de discrepancia, Dell utilizará la información recogida en las asesorías de seguridad de Dell como fuente de información con más autoridad.

Comunicaciones externas

Dell publica asesorías de seguridad, avisos y artículos de información para informar a los clientes de las vulnerabilidades de seguridad que afectan a nuestros productos.

Las asesorías de seguridad se publican con el fin de proporcionar orientación o instrucciones para que los clientes pueden protegerse, mitigar o corregir las vulnerabilidades una vez que Dell haya analizado e identificado las soluciones.

Las asesorías de seguridad tienen como fin proporcionar los detalles suficientes para que los clientes evalúen el impacto de las vulnerabilidades y corrijan los productos potencialmente afectados. No obstante, los detalles completos pueden limitarse a reducir la probabilidad de que los agentes maliciosos puedan aprovechar la información y explotarla en detrimento de nuestros clientes.

Las asesorías de seguridad de Dell incluirán la siguiente información cuando sea aplicable:

  • el impacto general es una representación textual de la gravedad (crítica, alta, media o baja) que se calcula siguiendo la escala de valoración cualitativa de la gravedad de CVSS para la puntuación base de CVSS más alta de todas las vulnerabilidades identificadas.
  • los productos y versiones afectados;
  • el indicador base y el vector de CVSS para cada vulnerabilidad identificada;
  • el identificador de vulnerabilidades y exposiciones comunes (en inglés)(CVE) para todas las vulnerabilidades identificadas a fin de compartir la información de cada una de ellas en diversas capacidades de gestión (por ejemplo, herramientas como análisis de vulnerabilidades, repositorios y servicios);
  • una breve descripción de la vulnerabilidad y el impacto potencial si se aprovecha;
  • detalles de la corrección con información de actualización o una solución alternativa;
  • Información sobre las categorías de vulnerabilidad:
    • Código con derechos de propiedad: hardware, software y firmware desarrollados por Dell.
    • Componentes de terceros: hardware, software o firmware distribuidos gratuitamente en paquetes o, alternativamente, en productos Dell;
  • Referencias adicionales según corresponda.

Dell podría publicar un aviso de seguridad caso por caso para reconocer una vulnerabilidad de seguridad conocida públicamente y proporcionar una declaración u otra orientación con respecto a cuándo (o dónde) habrá información adicional disponible.

Dell puede publicar artículos informativos sobre seguridad para compartir información sobre temas relacionados, como los siguientes:

  • nuevas funciones de refuerzo de seguridad introducidas;
  • guías de configuración y procedimientos recomendados de seguridad específicos para el producto;
  • vulnerabilidades de seguridad en componentes de terceros que se hayan detectado con herramientas de análisis de vulnerabilidades, pero que no puedan aprovecharse en el producto especificado;
  • instrucciones de instalación para aplicar actualizaciones de seguridad específicas;
  • información relacionada con los efectos que puedan tener en los productos Dell las actualizaciones de seguridad en requisitos previos y compartidos de productos que no sean de Dell.

Los avisos y las asesorías de seguridad de Dell están disponibles en www.dell.com/support/security (en inglés). Los artículos informativos están disponibles en este enlace en el momento que se autentican.

Cómo notificar una vulnerabilidad de seguridad

Si identifica una vulnerabilidad de seguridad en cualquier producto Dell, le rogamos que la notifique lo antes posible. La dentificación temprana de vulnerabilidades de seguridad y la elaboración de informes relacionados con estas son fundamentales para mitigar los riesgos potenciales para nuestros clientes. Los investigadores de seguridad deben enviar informes de vulnerabilidad de productos a través del sitio de Dell Bugcrowd (en inglés).  Los clientes y socios de productos comerciales y para empresas deben ponerse en contacto con el equipo de asistencia técnica correspondiente para informar de cualquier problema seguridad detectado en un producto Dell. El equipo de asistencia técnica, el equipo del producto correspondiente y Dell PSIRT trabajarán juntos para abordar el problema comunicado y proporcionar a los clientes los pasos que han de seguir.

Los grupos del sector, los proveedores y otros usuarios que no tengan acceso a la asistencia técnica o que no quieran pasar por el programa de recompensas por descubrimiento de errores pueden enviar informes de vulnerabilidad directamente a Dell PSIRT por correo electrónico. Los mensajes de correo electrónico y los archivos adjuntos deberían cifrarse al transmitir información confidencial mediante PGP y con una clave PGP de DELL PSIRT, que se puede descargar aquí (en inglés). Dell reconocerá el informe de divulgación de la vulnerabilidad en cuanto las circunstancias lo permitan.

En todos los casos, Dell intentará confirmar la recepción del informe de divulgación de vulnerabilidades en un plazo de tres (3) días laborables y proporcionar novedades sobre la corrección con una frecuencia de treinta (30) días naturales o menos.

Al informar de una posible vulnerabilidad, le rogamos que incluya la mayor parte de la información posible que se indica a continuación para ayudarnos a comprender mejor la naturaleza y el alcance del problema notificado:

  • nombre y versión del producto que contiene la presunta debilidad o vulnerabilidad;
  • información del sistema o entorno en el que se ha reproducido el problema (por ejemplo, número de modelo del producto, versión del sistema operativo y otros datos relacionados);
  • enumeración de las debilidades comunes (CWE) y tipo o clase de vulnerabilidad, por ejemplo, secuencias de comandos de sitios cruzados, desbordamiento de búfer, denegación de servicio o ejecución de código remoto;
  • instrucciones paso a paso para reproducir la vulnerabilidad;
  • código de vulnerabilidad o prueba de concepto;
  • impacto potencial de la vulnerabilidad.

Directrices de conducta para investigadores

Si una vulnerabilidad le proporciona acceso a información confidencial o privada (incluidos datos de terceros, personales o marcados por Dell como de uso interno, restringidos o muy restringidos), solo puede acceder a información de este tipo lo mínimo imprescindible para informar a Dell de la vulnerabilidad. Le recordamos que no puede almacenar, transferir, utilizar, retener, divulgar o copiar esta información salvo para entregarla a Dell.

Asimismo, no puede participar en acciones que afecten la integridad o la disponibilidad de los sistemas Dell, excepto si tiene el permiso explícito del propietario del sistema para hacerlo. Haga lo imprescindible para obtener una prueba de concepto. Si descubre una reducción de rendimiento durante la investigación o provoca una infracción o interrupción sin querer (por ejemplo, al acceder a los datos del cliente o las configuraciones de servicios), deje de utilizar cualquier herramienta automatizada e informe del incidente de inmediato. En cualquier momento, si tiene alguna duda sobre si su investigación sobre seguridad cumple con los requisitos de esta política, pregunte a secure@dell.com antes de seguir con la investigación.

Notificar a Dell de otros problemas de seguridad

Utilice los contactos adecuados que se indican a continuación para informar a Dell de otros tipos de problemas de seguridad.

Problema de seguridad

Información de contacto

Para informar sobre una vulnerabilidad o problema de seguridad en Dell.com u otro servicio en línea, aplicación web o propiedad:

Envíe un informe a https://bugcrowd.com/dell-com (en inglés)con instrucciones paso a paso para reproducir el problema.

Si sospecha de un robo de identidad o ha sufrido una transacción fraudulenta relacionada con Dell Financial Services.

Consulte la página de seguridad de Dell Financial Services Security (en inglés).

Para enviar solicitudes o preguntas relacionadas con la seguridad:

Consulte la página de privacidad de Dell

Limitaciones

Dell se esfuerza por ofrecer la mayor transparencia posible y, por ello, transmite información sobre sus esfuerzos en la corrección de vulnerabilidades en las asesorías de seguridad y otros documentos relacionados, entre los que se incluyen las notas de la versión, los artículos de la Base de conocimientos y las preguntas frecuentes.  Dell no comparte vulnerabilidades verificadas ni códigos de prueba de concepto para las vulnerabilidades identificadas. Además, de acuerdo con las prácticas recomendadas del sector, Dell no comparte con entidades externas los resultados de las pruebas, las pruebas de concepto obtenidas de pruebas de seguridad internas ni ningún otro tipo de información privilegiada.

Derechos del cliente: garantías, soporte y mantenimiento

Los derechos de los clientes de Dell con respecto a las garantías, la asistencia y el mantenimiento, incluidas las vulnerabilidades en cualquier producto de software de Dell, se rigen exclusivamente por el acuerdo aplicable entre Dell y cada cliente. Las declaraciones de esta página web no modifican, extienden o enmiendan los derechos del cliente ni añaden garantías adicionales.

Descargo de responsabilidad

Todos los aspectos detallados en esta política de respuesta ante vulnerabilidades se encuentran sujetos a cambios sin previo aviso. No se ofrece respuesta garantizada para problemas ni clases de problemas específicos. El uso de la información recogida en este documento o los materiales que en este se enlazan depende del usuario.