Programa de Divulgación Coordinada de Vulnerabilidades

Trabajamos con la comunidad de seguridad para proteger nuestros productos y clientes

Nosotros

En Noxium nuestros Routers, Módems y Gateways son diseñados por un grupo de ingenieros con un largo recorrido en el sector. Siempre adaptándose a las necesidades industriales del cliente y mejorando la tecnología según las necesidades actuales.

Nuestro compromiso

Todos los productos Noxium son ensamblados y testeados por nuestro equipo de técnicos y proveedores, asegurando la calidad del resultado a través de exhaustivas pruebas, certificando un producto final con garantías.

Proceso de Divulgación Coordinada (CVD)

Seguimos las mejores prácticas internacionales de divulgación coordinada de vulnerabilidades, basadas en estándares como ETSI TR 103 838 y las recomendaciones de ISO/IEC 29147.

Reporte

El investigador envía un reporte detallado de la vulnerabilidad a través de nuestro canal seguro.

Acuse de recibo

Confirmamos la recepción del reporte en un plazo máximo de 3 días laborables..

Evaluación

Nuestro equipo de seguridad analiza y valida la vulnerabilidad reportada.

Coordinación

Mantenemos comunicación con el investigador sobre el progreso y tiempos de resolución.

Remediación

Desarrollamos y desplegamos las correcciones necesarias en nuestros productos.

Divulgación

Coordinamos la publicación de la vulnerabilidad con el investigador una vez solucionada.

Alcance del programa

Aceptamos reportes de vulnerabilidades en los siguientes productos y servicios:

Routers Raxon

Routers industriales para infraestructuras de telemedida eléctrica.

Módems Axom

Módems 4G para comunicaciones IoT en entornos industriales.

Gateways RMU-Aqua

Gateways NB-IoT para redes de sensores de bajo consumo.

Plataforma Sócrates

Plataforma en la nube para gestión y análisis de datos IoT.

NoxApp

Aplicación móvil Android para monitorización y control.

Información requerida en el reporte

Para procesar eficientemente su reporte, por favor incluya la siguiente información:

Descripción de la vulnerabilidad: Descripción clara y detallada de la vulnerabilidad encontrada, incluyendo el tipo de vulnerabilidad (ej: inyección SQL, XSS, desbordamiento de búfer, etc.) .

Producto y versión afectados: Nombre del producto, modelo específico y versión de firmware/software donde se identificó la vulnerabilidad.

Pasos de reproducción: Instrucciones detalladas paso a paso para reproducir la vulnerabilidad, incluyendo configuraciones necesarias y condiciones específicas.

Impacto y severidad: Evaluación del impacto potencial de la vulnerabilidad (confidencialidad, integridad, disponibilidad) y su severidad estimada.

Detalles técnicos: Información técnica relevante como logs, capturas de pantalla, código de prueba de concepto (PoC), tráfico de red capturado, etc.

Información del investigador: Nombre o alias, datos de contacto y preferencias para el reconocimiento público (opcional).

Nuestro proceso interno

Recepción del reporte

Plazo: Inmediato
Su reporte es recibido de forma segura a través de nuestro canal de comunicación cifrado. Todos los reportes son tratados con estricta confidencialidad.

Acuse de recibo

Plazo: 3 días laborables
Enviaremos una confirmación de recepción con un identificador único para el seguimiento del caso. Este identificador debe usarse en todas las comunicaciones posteriores.

Evaluación inicial

Plazo: 7-10 días laborables
Nuestro equipo de seguridad realizará una evaluación inicial para validar la vulnerabilidad, determinar su severidad y estimar el tiempo de resolución.

Actualizaciones periódicas

Frecuencia: Cada 14 días
Mantendremos informado al investigador sobre el progreso de la resolución, incluyendo hitos alcanzados y plazos estimados de publicación del parche.

Resolución y divulgación

Plazo: Variable según severidad
Una vez desarrollado y desplegado el parche, coordinaremos con el investigador la fecha de divulgación pública, respetando un período razonable para que los clientes actualicen sus sistemas.

Protección de datos y confidencialidad

Tratamiento responsable

Toda la información recibida a través de este programa es tratada con estricta confidencialidad. No compartiremos datos personales del investigador ni detalles técnicos de la vulnerabilidad con terceros sin consentimiento explícito, excepto cuando sea necesario para la resolución del problema.

Cumplimiento normativo

El tratamiento de datos personales se realiza conforme al Reglamento General de Protección de Datos (RGPD) y la legislación española aplicable. Los datos del investigador se utilizarán exclusivamente para la gestión del reporte y el reconocimiento acordado.

Retención de información

Los reportes de vulnerabilidades y la información técnica asociada se conservarán durante el tiempo necesario para la gestión del caso y el cumplimiento de obligaciones legales. Los investigadores pueden solicitar la eliminación de sus datos personales una vez cerrado el caso.

Seguridad en las comunicaciones

Recomendamos el uso de canales seguros para el envío de información sensible. Si necesita compartir información especialmente confidencial, podemos coordinar el uso de cifrado PGP u otros métodos seguros de comunicación.

Contacto seguro

Correo electrónico

Para reportar vulnerabilidades, contacte con nuestro equipo de seguridad:
security@noxium.es
Por favor, incluya «[VULNERABILITY]» en el asunto del correo

También puede contactarnos a través de nuestra página corporativa:
@noxium
Respuesta en horario laboral (L-V, 9:00-18:00 CET)

¿Listo para reportar una vulnerabilidad?

Agradecemos su contribución a la seguridad de nuestros productos y clientes.

Enviar reporte

Reconocimiento a investigadores

Valoramos el trabajo de la comunidad de seguridad y reconocemos públicamente las contribuciones de los investigadores que nos ayudan a mejorar la seguridad de nuestros productos.

Hall of Fame

Los investigadores que reporten vulnerabilidades válidas serán incluidos en nuestro Hall of Fame de seguridad (con su consentimiento), donde reconocemos públicamente su contribución.

Créditos en Advisories

Cuando publiquemos avisos de seguridad, incluiremos el crédito al investigador que descubrió la vulnerabilidad, respetando sus preferencias de anonimato o uso de alias.

Comunicación transparente

Mantenemos una comunicación abierta y transparente durante todo el proceso, valorando la colaboración profesional con la comunidad de investigadores.

Directrices y buenas prácticas

Prácticas recomendadas

Reporte las vulnerabilidades de forma responsable y confidencial.
Proporcione información detallada para facilitar la reproducción.
Permita un tiempo razonable para la corrección antes de la divulgación pública.
Actúe de buena fe y evite acciones que puedan dañar nuestros sistemas o datos.
Respete la privacidad de nuestros clientes y usuarios.
Limite las pruebas al mínimo necesario para demostrar la vulnerabilidad.

Actividades prohibidas

Acceder, modificar o eliminar datos que no le pertenecen.
Realizar ataques de denegación de servicio (DoS/DDoS).
Ejecutar pruebas en sistemas de producción de clientes sin autorización.
Divulgar públicamente la vulnerabilidad antes de su resolución.
Realizar ingeniería social contra empleados o clientes.
Intentar extorsionar o solicitar compensación económica.

Compromiso legal

Noxium se compromete a no emprender acciones legales contra investigadores que actúen de buena fe y cumplan con las directrices establecidas en este programa. Consideramos que la investigación de seguridad realizada conforme a estas directrices es una actividad autorizada y beneficiosa para la seguridad de nuestros productos y clientes.

Preguntas frecuentes

¿Ofrecen recompensas económicas por vulnerabilidades?

Actualmente no contamos con un programa de bug bounty con recompensas económicas. Sin embargo, reconocemos públicamente las contribuciones de los investigadores y valoramos enormemente su colaboración en mejorar la seguridad de nuestros productos.

¿Qué hago si encuentro una vulnerabilidad crítica que está siendo explotada activamente?

En caso de vulnerabilidades críticas o explotación activa, por favor contacte inmediatamente con security@noxium.es indicando «URGENTE» en el asunto. Priorizaremos estos casos y responderemos en el menor tiempo posible.

¿Puedo realizar pruebas en dispositivos de producción?

No. Las pruebas deben realizarse únicamente en dispositivos de su propiedad o en entornos de prueba autorizados. Nunca realice pruebas en sistemas de producción de clientes sin autorización explícita.

¿Cuánto tiempo debo esperar antes de divulgar públicamente una vulnerabilidad?

Solicitamos un período mínimo de 90 días desde el reporte inicial para permitir el desarrollo, prueba y despliegue de correcciones. En casos de vulnerabilidades críticas, trabajaremos para reducir este plazo. Siempre coordinaremos la divulgación con el investigador.

¿Qué información necesito para acceder a dispositivos de prueba?

Si necesita acceso a hardware específico para validar una vulnerabilidad, contacte con nuestro equipo de seguridad. Evaluaremos cada caso individualmente y, cuando sea posible, facilitaremos el acceso a dispositivos de prueba o información técnica adicional.

¿Aceptan reportes de vulnerabilidades en productos de terceros que integran sus dispositivos?

Nuestro programa cubre únicamente vulnerabilidades en productos desarrollados por Noxium. Si la vulnerabilidad afecta a componentes de terceros, le recomendamos reportarla directamente al fabricante correspondiente, aunque agradecemos que nos informe para evaluar el impacto en nuestros productos.