1. Introducción

Uno de los principales objetivos del equipo de respuesta ante incidentes de seguridad de Western Digital (PSIRT) es garantizar la seguridad de los usuarios finales de los productos de Western Digital. La Política de divulgación de información sobre vulnerabilidades de Western Digital fomenta la colaboración con los investigadores de seguridad y el público en general. Asimismo, los anima a actuar de buena fe y de forma responsable a la hora de buscar vulnerabilidades y divulgar información sobre ellas. Si crees que has descubierto una vulnerabilidad, filtración de datos u otro problema de seguridad, nos gustaría que nos lo comunicases. En esta política se resumen los pasos que se deben seguir para informarnos sobre una vulnerabilidad y se aclara qué es lo que Western Digital entiende por actuar de buena fe al buscar posibles vulnerabilidades e informar sobre ellas. También se explica qué pueden recibir a cambio los investigadores por parte de Western Digital.

2. Definiciones

1. Ventana de confidencialidad: Cuando aceptemos tu informe de vulnerabilidades, nuestro objetivo será corregirla y lanzar una solución en un periodo de noventa días desde la fecha en la que hayamos confirmado la recepción del informe. Si necesitamos más información para confirmar que existe una vulnerabilidad, nos pondremos en contacto contigo. Si después de tres intentos no recibimos una respuesta, es posible que cerremos el caso, pero estaremos encantados de que vuelvas a contactar con nosotros en el futuro.
2. Boletines de seguridad: Nuestros boletines de seguridad se publican aquí:
   https://www.westerndigital.com/support/productsecurity
3. Tú/la persona que informó de la vulnerabilidad: un individuo, organización o grupo limitado que divulga un informe de vulnerabilidades.
4. Nosotros: en esta política, "nosotros" se refiere a todo Western Digital y a nuestras marcas, incluidas las siguientes: Western Digital, WD, SanDisk, SanDisk Professional, HGST y G-Technology.
5. Canal oficial de informes: el canal de comunicaciones para informar sobre las divulgaciones de vulnerabilidades: PSIRT@wdc.com.
6. Confirmación de la recepción: es la fecha en la que te respondemos, tras haber recibido tu informe para el PSIRT, y te enviamos un número de caso y una fecha para la divulgación tras un periodo de noventa días.

3. Instrucciones para informar de vulnerabilidades

Si crees que has detectado un problema de seguridad en un producto o servicio de Western Digital, envíanos un correo electrónico con los detalles a nuestro canal oficial de informes. La respuesta puede demorarse si envías tu mensaje a otra dirección de correo electrónico.
Si es posible, incluye los siguientes datos:

• los productos o servicios afectados y su número de versión;
• los detalles sobre las consecuencias del problema;
• cualquier información que nos pueda ayudar a reproducir o diagnosticar el problema, incluida una prueba de concepto (PoC), si estuviese disponible; y
• si crees que la vulnerabilidad ya se ha divulgado públicamente o es conocida por otras empresas. Utiliza nuestra clave PGP/GPG para cifrar la información antes de enviarla.

Utiliza nuestra clave PGP/GPG para cifrar la información antes de enviarla.

4. Divulgación coordinada de vulnerabilidades que afectan a varias partes

Para la divulgación coordinada de vulnerabilidades que afectan a varias partes, seguimos las directrices y prácticas recomendadas de FIRST. Los investigadores que quieran informar de una vulnerabilidad que afecta a varias partes, pero que necesiten ayuda con el proceso o para coordinar a las partes vulnerables, pueden ponerse en contacto con nosotros. Si confirmamos la vulnerabilidad, podemos guiarlos y actuar como coordinadores.

5. Productos y servicios incluidos en el ámbito de actuación

Todos los productos que aún se encuentren en la fase de actualizaciones actuales y limitadas, incluidas las familias de productos que se mencionan abajo. También aceptamos informes de vulnerabilidades en nuestras páginas web o servicios en la nube. Los productos y servicios que han terminado su ciclo de vida no están cubiertos por esta política de divulgación de vulnerabilidades. Esta es la lista de productos cubiertos por esta política actualmente:

• Almacenamiento en red: My Cloud Home, My Cloud, ibi Personal Mobile Storage: My Passport Wireless e Ixpand
• Almacenamiento profesional: G-DRIVE, G-RAID
• WD BLACK
• Almacenamiento externo: My Book, My Passport, WD EasyStore y WD Elements
• Discos internos, SSD & unidades flash integradas
• Aplicaciones móviles y de sobremesa: EdgeRover y SanDisk Memory Zone
• Unidades flash USB
• Discos portátiles 
• Tarjetas de memoria

Consulta los siguientes enlaces para obtener más información sobre el soporte prestado durante el ciclo de vida de nuestros productos:
SanDisk: https://kb.sandisk.com/app/answers/detail/a_id/22809
G-Technology: https://support.g-technology.com/downloads.aspx?lang=en
Productos WD: https://www.westerndigital.com/es-es/support/software/software-life-cycle-policy

6. Nuestros compromisos

Cuando colabores con nosotros, según esta política, ten en cuenta lo siguiente:

• En este momento, no estamos participando en ningún programa de recompensas por la detección de errores ni lo ofrecemos. No atenderemos peticiones de pagos por detección de errores, material promocional o reconocimiento fuera del proceso de publicación de nuestro boletín de seguridad.
• Confirmaremos la recepción de tu informe de vulnerabilidades en un periodo de tres días laborables desde que lo recibamos y te proporcionaremos un número de seguimiento.
• Te confirmaremos que hemos aceptado la vulnerabilidad en un periodo de treinta días desde la confirmación de la recepción y propondremos una fecha límite para solucionarla. Si no aceptamos el informe, te explicaremos los motivos y estaremos abiertos a recibir nueva información sobre este.
• Una vez confirmada la vulnerabilidad sobre la que se ha informado, nuestros ingenieros se pondrán a trabajar para encontrar la solución adecuada.
• En ocasiones, habrá vulnerabilidades que no se puedan resolver en el plazo límite de noventa días. Si se necesita ampliar el tiempo de la ventana de confidencialidad, colaboraremos contigo para aumentar la ventana o recomendaremos lo contrario. La resolución dependerá de los siguientes factores:
  
  • Proveedores con periodos de resolución distintos de los nuestros.
  • La necesidad de llevar a cabo cambios de arquitectura sustanciales para corregir la vulnerabilidad.
  • Requisitos de validación extensos o complejos como resultado de cambios de bajo nivel en el firmware, por ejemplo las vulnerabilidades en el firmware de discos duros o SSD.
• Publicamos boletines de seguridad, según nuestro propio criterio, para ofrecer información sobre seguridad a nuestros clientes y al público. Agradeceremos tu ayuda a la hora de detectar vulnerabilidades e informar sobre ellas en el boletín de seguridad correspondiente y en la lista de CVE si:
  • la vulnerabilidad de la que has informado afecta a un producto de Western Digital que aún cuenta con soporte;
  • realizamos un cambio en el código o en la configuración a raíz del problema;
  • eres la primera persona en informar del problema;
  • tu investigación se ha llevado a cabo de acuerdo con esta política; y
  • das tu consentimiento para el reconocimiento.

7. Nuestras expectativas

Para participar de buena fe en nuestro programa de divulgación de información sobre vulnerabilidades, te pedimos lo siguiente.

• Respeta las normas, incluida esta política y cualquier otro acuerdo relevante. Si existe alguna contradicción entre esta política y otros términos aplicables, prevalecerán los términos de esta política.
• Informa cuanto antes de cualquier vulnerabilidad que hayas detectado.
• Haz todo lo posible por evitar las violaciones de privacidad, el deterioro de la experiencia de usuario, las alteraciones de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad. En particular:
  
  • No ocasiones daños potenciales o reales a nuestros usuarios, sistemas y aplicaciones. Tampoco recurras a métodos de prueba inadecuados, como la denegación de servicio.
  • No explotes una vulnerabilidad para acceder a datos sin autorización o para corromperlos.
  • No ejecutes ataques dirigidos a nuestro personal, propiedades, centros de datos, socios y filiales.
  • No lleves a cabo intentos de ingeniería social ni des una imagen falsa de tu afiliación o autorización a ninguno de nuestros empleados, trabajadores independientes o filiales para obtener acceso a nuestros recursos.
    
  • No infrinjas ninguna ley ni incumplas ningún acuerdo para buscar vulnerabilidades.
    
• Solo debes investigar los productos enumerados anteriormente en la sección Productos y servicios incluidos en el ámbito de actuación.
• Comunícanos las vulnerabilidades de seguridad únicamente por medio del proceso de información sobre vulnerabilidades.
  
• Hasta que hayamos resuelto el problema y se haya publicado un boletín de seguridad, trata la información sobre cualquier vulnerabilidad que hayas descubierto como confidencial. No divulgues información fuera de la ventana de confidencialidad.
• Si accidentalmente una vulnerabilidad te da acceso a datos:
  
  • Accede solo a los datos que sean estrictamente necesarios para diseñar una prueba de concepto.
  • Para de hacer pruebas y envía un informe inmediatamente si te encuentras con datos de usuario durante ellas, como puede ser información de identificación personal (PII), información personal médica (PHI), datos sobre tarjetas de crédito o información de carácter confidencial.
• Interactúa solo con cuentas de prueba que sean tuyas o con cuentas para las que tengas el permiso explícito del propietario.

8. Exención de responsabilidad

De vez en cuando, es posible que actualicemos la Política de divulgación de información sobre vulnerabilidades. Revisa esta política antes de enviar informes de vulnerabilidad. Las divulgaciones de información se regirán por la versión de esta política que esté publicada en el momento en el que se confirme la recepción del informe.

9. Historial de cambios

Fecha de publicación: 2021-10-15
Versión: 1.1

10. Referencias

Esta política se basa en las directrices descritas en los documentos ISO 29147 & 30111.
Le damos las gracias a disclose.io por su resumen y el texto compartidos bajo licencia Creative Commons CC-0. Nos ha resultado muy útil para elaborar nuestra política de divulgación.