El artículo 16(2) menciona que, tras recibir una notificación, el primer CSIRT designado debe, sin demora, difundir la notificación a otros CSIRTs en la jurisdicción donde el producto ha sido distribuido. Sin embargo, en circunstancias excepcionales y si es solicitado por el fabricante, se puede retrasar la difusión de la información según el artículo 14(2), teniendo en cuenta la sensibilidad de la información.
El artículo 14(9) indica que, para el 11 de diciembre de 2025, la Comisión Europea adoptará actos delegados para definir los criterios que justificarán dicha demora en la difusión de las vulnerabilidades. Es vital que la Comisión dialogue con los CSIRTs para determinar estos criterios.
Uno de los criterios puede ser la fiabilidad de un CSIRT. Si hay dudas sobre su seguridad, especialmente si están lidiando con un incidente en curso o han tenido fugas de información, puede ser prudente previnir su inclusión en el intercambio de información. En el funcionamiento diario de los CSIRTs, la decisión de compartir información es compleja: no hay un enfoque binario. A menudo, es necesario retener ciertos datos para proteger identidades o evitar la exposición innecesaria.
Uno de los enfoques propuestos involucra el uso de marcas como PAP (protocolo de acciones permisibles) y TLP (protocolo de semáforo). Por ejemplo, compartir información sobre una explotación sencilla puede ser crucial para ayudar a otros CSIRTs a identificar sistemas vulnerables, pero pasar un script que podría ser explotado puede ser riesgoso. Por lo tanto, los CSIRTs no deberían compartir información si no es posible mitigar los riesgos con restricciones adecuadas.
Otro criterio para evitar la difusión inmediata es si la información que se debe compartir ya es conocida por otros CSIRTs, lo que haría innecesaria la disparidad. Además, si la notificación está relacionada con incidentes clasificados debido a preocupaciones de seguridad nacional, la diseminación puede ser legalmente impedida.
Sin embargo, los factores temporales no deberían ser una razón válida para el retraso en el intercambio de información. Las promesas de un proveedor de lanzar un aviso público no deberían ser tomadas como una justificación para esperar, ya que la urgencia puede ser perjudicada si se acata dicha solicitud.
En resumen, los puntos clave que limitan la decisión de compartir notificaciones de vulnerabilidad son: (1) la presencia de problemas de seguridad conocidos con un CSIRT y (2) la existencia de suficiente información previamente compartida que haga innecesaria la difusión de la nueva notificación. La colaboración y el intercambio de información entre los CSIRTs son fundamentales para mejorar la resiliencia cibernética, y se debe manejar con precaución para equilibrar la necesidad de seguridad y la rapidez en la respuesta ante vulnerabilidades.
Enlace de la fuente, haz clic para tener más información