El Incibe será el enlace con EE UU para fulminar piratas

El Instituto Nacional de Ciberseguridad (Incibe), fue designado ayer como Autoridad de Numeración de Vulnerabilidades (CNA: CVE Numbering Authorities) por MITRE, una asociación dependiente de la Agencia de Seguridad de la Ciberseguridad y de las Infraestructuras (CISA), del Departamento de Seguridad Nacional de Estados Unidos (DHS). Incibe se convertirá así en el único punto de contacto en España para la recepción de vulnerabilidades descubiertas en el ámbito de la Tecnología de la Información (TI), los sistemas industriales y los dispositivos de Internet de las Cosas (IoT).

Las debilidades, según informan desde el propio organismo, son debilidades en la lógica computacional de un dispositivo, localizadas en los componentes de software y hardware. Si estas flaquezas se explotan tendrían un impacto negativo en la confidencialidad, integridad o disponibilidad de esos equipos y la información que contienen. La directora general de Incibe, Rosa Díaz, resaltó la importancia de «la coordinación y colaboración, tanto nacional como internacional, con agentes competentes en esta materia», la cual consideró «esencial para compartir información y ayudar a mejorar en el ámbito de los sistemas industriales».

Como CNA, única organización española competente para la designación del identificador estándar CVE para vulnerabilidades existentes en un determinado dispositivo que afecten a su sector y actividad, Incibeserá el responsable del estudio, gestión, documentación, asignación y divulgación pública de dichas fragilidades, coordinándose con el resto de actores en esta materia. El termino CVE (Common Vulnerabilities and Exposures) es el estándar internacional para la identificación de fallos existentes en un dispositivo informático. Al descubrirse un problema en dichos dispositivos, se analiza si el error ha sido descubierto con anterioridad y, si no es así, se le asigna un identificador. Scott Lawler, CEO de LP3 y miembro de la Junta de CVE, elogió y dio la bienvenida al ente leonés. «El Instituto Nacional de Ciberseguridad reconoce el valor de la coordinación internacional en el ámbito de la ciberseguridad para la ciberresiliencia mutua entre estados. Personalmente, elogio el compromiso de su equipo en proteger todos los ámbitos implicados», declaró.

Conjuntamente con las organizaciones responsables de los productos afectados por estas debilidades, el Instituto se colaborará en la mitigación del problema de seguridad detectado, publicando las correspondientes actualizaciones y parches para resolver el incidente. Serán cinco los pasos básicos en el proceso: recopilación, análisis, coordinación, mitigación y divulgación, siempre que se le haya notificado la existencia de posibles errores.