1. Introducción

Uno de los principales objetivos del equipo de respuesta ante incidentes de seguridad de Western Digital (PSIRT) es garantizar la seguridad de los usuarios finales de los productos de Western Digital. La Política de divulgación de información sobre vulnerabilidades de Western Digital fomenta la colaboración con los investigadores de seguridad y el público en general. Asimismo, los anima a actuar de buena fe y de forma responsable a la hora de buscar vulnerabilidades y divulgar información sobre ellas. Si crees que has descubierto una vulnerabilidad, filtración de datos u otro problema de seguridad, nos gustaría que nos lo comunicases. En esta política se resumen los pasos que se deben seguir para informarnos sobre una vulnerabilidad y se aclara qué es lo que Western Digital entiende por actuar de buena fe al buscar posibles vulnerabilidades e informar sobre ellas. También se explica qué pueden recibir a cambio los investigadores por parte de Western Digital.

2. Definiciones

1. Nosotros: En esta política, "nosotros" se refiere a todo Western Digital y a nuestras marcas.
2. Tú/la persona que informó de la vulnerabilidad: un individuo, organización o grupo limitado que divulga un informe de vulnerabilidades.
3. Ventana de confidencialidad: Cuando aceptemos tu informe de vulnerabilidades, nuestro objetivo será corregirla y lanzar una solución en un periodo de noventa días desde la fecha en la que hayamos confirmado la recepción del informe. Si necesitamos más información para confirmar que existe una vulnerabilidad, nos pondremos en contacto contigo. Si después de tres intentos no recibimos una respuesta, es posible que cerremos el caso, pero estaremos encantados de que vuelvas a contactar con nosotros en el futuro.
4. Boletines de seguridad: Nuestros boletines de seguridad se publican aquí:
   https://www.westerndigital.com/support/productsecurity
5. Canal oficial de informes: el canal de comunicaciones para informar sobre las divulgaciones de vulnerabilidades: PSIRT@wdc.com.
6. Confirmación de la recepción: es la fecha en la que te respondemos, tras haber recibido tu informe para el PSIRT, y te enviamos un número de caso y una fecha para la divulgación tras un periodo de noventa días.

3. Instrucciones para informar de vulnerabilidades

Si crees que has detectado un problema de seguridad en un producto o servicio de Western Digital, envíanos un correo electrónico con los detalles a nuestro canal oficial de informes. La respuesta puede demorarse si envías tu mensaje a otra dirección de correo electrónico.

Información necesaria:

• El/los producto(s) y número(s) de versión específicos; o
• Para un/los Servicio(s), proporciona el servicio o URL específicos, incluida una marca de tiempo del problema que quieres comunicar; y
• Pasos para reproducir el problema, incluida una prueba de concepto (PoC);

Recomendaciones:

• Proporciona cualquier referencia relevante de CWE, si está disponible;
• si crees que la vulnerabilidad ya se ha divulgado públicamente o es conocida por otras empresas.

Puedes cifrar la información antes de enviarla, para ello utiliza nuestra clave PGP/GPG.

4. Divulgación coordinada de vulnerabilidades que afectan a varias partes

Para la divulgación coordinada de vulnerabilidades que afectan a varias partes, seguimos las directrices y prácticas recomendadas de FIRST.

5. Productos y servicios incluidos en el ámbito de actuación

Aceptamos informes de seguridad sobre todos los productos basados en disco duro y plataformas de Western Digital y servicios en la nube relacionados que no han llegado al final de las actualizaciones y de la asistencia técnica. Los productos y servicios que han llegado al final de las actualizaciones y de la asistencia técnica no están cubiertos por esta política de divulgación de vulnerabilidades.

6. Fuera del ámbito

Análisis de vulnerabilidades del producto

• PSIRT no acepta informes de análisis de vulnerabilidades en nuestros dispositivos sin una prueba de concepto.

Para informes de productos basados en flash de Western Digital, consulta la Política de divulgación de vulnerabilidades de SanDisk.

También aceptamos informes de vulnerabilidad sobre nuestra presencia en Internet, es decir, westerndigital.com. Envía estos informes a websecurity@wdc.com.

Vulnerabilidades web aceptadas:

• Las 10 principales categorías de vulnerabilidades de OWASP
• Otras vulnerabilidades con impacto demostrado

Vulnerabilidades web no aceptadas:

• Vulnerabilidades teóricas
• Divulgaciones informativas de datos no confidenciales
• Vulnerabilidades de bajo impacto o de baja probabilidad de explotación

7. Nuestros compromisos

Cuando colabores con nosotros, según esta política, ten en cuenta lo siguiente:

• En este momento, no estamos participando en ningún programa de recompensas por la detección de errores ni lo ofrecemos. No atenderemos peticiones de pagos por detección de errores, material promocional o reconocimiento fuera del proceso de publicación de nuestro boletín de seguridad.
• Confirmaremos la recepción de tu informe de vulnerabilidades en un periodo de tres días laborables desde que lo recibamos y te proporcionaremos un número de seguimiento.
• Te confirmaremos que hemos aceptado la vulnerabilidad en un periodo de treinta días desde la confirmación de la recepción y propondremos una fecha límite para solucionarla. Si no aceptamos el informe, te explicaremos los motivos y estaremos abiertos a recibir nueva información sobre este.
• Una vez confirmada la vulnerabilidad sobre la que se ha informado, nuestros ingenieros se pondrán a trabajar para encontrar la solución adecuada.
• En ocasiones, habrá vulnerabilidades que no se puedan resolver en el plazo límite de noventa días. Si se necesita ampliar el tiempo de la ventana de confidencialidad, colaboraremos contigo para aumentar la ventana o recomendaremos lo contrario. La resolución dependerá de los siguientes factores:
  
  • Proveedores con periodos de resolución distintos de los nuestros.
  • La necesidad de llevar a cabo cambios de arquitectura sustanciales para corregir la vulnerabilidad.
  • Requisitos de validación extensos o complejos como resultado de cambios de bajo nivel en el firmware, por ejemplo las vulnerabilidades en el firmware de discos duros.
• Publicamos boletines de seguridad, según nuestro propio criterio, para ofrecer información sobre seguridad a nuestros clientes y al público. Agradeceremos tu ayuda a la hora de detectar vulnerabilidades e informar sobre ellas en el boletín de seguridad correspondiente y en la lista de CVE si:
  • la vulnerabilidad de la que has informado afecta a un producto de Western Digital que aún cuenta con soporte;
  • realizamos un cambio en el código o en la configuración a raíz del problema;
  • eres la primera persona en informar del problema;
  • tu investigación se ha llevado a cabo de acuerdo con esta política; y
  • das tu consentimiento para el reconocimiento.
• No publicamos avisos de mejoras generales de seguridad ni correcciones de programación defensivas que no tengan un impacto de seguridad demostrado.

8. Nuestras expectativas

Para participar de buena fe en nuestro programa de divulgación de información sobre vulnerabilidades, te pedimos lo siguiente.

• Respeta las normas, incluida esta política y cualquier otro acuerdo relevante. Si existe alguna contradicción entre esta política y otros términos aplicables, prevalecerán los términos de esta política.
• Informa cuanto antes de cualquier vulnerabilidad que hayas detectado.
• Haz todo lo posible por evitar las violaciones de privacidad, el deterioro de la experiencia de usuario, las alteraciones de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad. En particular:
  
  • No ocasiones daños potenciales o reales a nuestros usuarios, sistemas y aplicaciones. Tampoco recurras a métodos de prueba inadecuados, como la denegación de servicio.
  • No explotes una vulnerabilidad para acceder a datos sin autorización o para corromperlos.
  • No ejecutes ataques dirigidos a nuestro personal, propiedades, centros de datos, socios y filiales.
  • No lleves a cabo intentos de ingeniería social ni des una imagen falsa de tu afiliación o autorización a ninguno de nuestros empleados, trabajadores independientes o filiales para obtener acceso a nuestros recursos.
    
  • No infrinjas ninguna ley ni incumplas ningún acuerdo para buscar vulnerabilidades.
    
• Solo debes investigar los productos enumerados anteriormente en la sección Productos y servicios incluidos en el ámbito de actuación.
• Comunícanos las vulnerabilidades de seguridad únicamente por medio del proceso de información sobre vulnerabilidades.
  
• Hasta que hayamos resuelto el problema y se haya publicado un boletín de seguridad, trata la información sobre cualquier vulnerabilidad que hayas descubierto como confidencial. No divulgues información fuera de la ventana de confidencialidad.
• Si accidentalmente una vulnerabilidad te da acceso a datos:
  
  • Accede solo a los datos que sean estrictamente necesarios para diseñar una prueba de concepto.
  • Para de hacer pruebas y envía un informe inmediatamente si te encuentras con datos de usuario durante ellas, como puede ser información de identificación personal (PII), información personal médica (PHI), datos sobre tarjetas de crédito o información de carácter confidencial.
• Interactúa solo con cuentas de prueba que sean tuyas o con cuentas para las que tengas el permiso explícito del propietario.

9. Exención de responsabilidad

De vez en cuando, es posible que actualicemos la Política de divulgación de información sobre vulnerabilidades. Revisa esta política antes de enviar informes de vulnerabilidad. Las divulgaciones de información se regirán por la versión de esta política que esté publicada en el momento en el que se confirme la recepción del informe.

10. Historial de cambios

Fecha de publicación: 17 de marzo de 2025
Versión: 2.0

11. Referencias

Esta política se basa en las directrices descritas en los documentos ISO 29147 & 30111.
Le damos las gracias a disclose.io por su resumen y el texto compartidos bajo licencia Creative Commons CC-0. Nos ha resultado muy útil para elaborar nuestra política de divulgación.