Seguridad de productos NETGEAR
Nuestro compromiso
En NETGEAR, trabajamos para conectar a las personas a Internet de forma segura mediante prácticas de diseño seguro, integridad de la cadena de suministro, supervisión proactiva de amenazas y funciones de seguridad innovadoras. Nuestro equipo está comprometido con un sólido programa de seguridad de productos que genera la confianza de los clientes y se adapta al cambiante panorama de las ciberamenazas.
Informar de una vulnerabilidad
El equipo de seguridad de productos de NETGEAR investiga todos los informes de vulnerabilidades de seguridad que afectan a los productos y servicios de NETGEAR. Si es investigador de seguridad y cree haber descubierto una posible vulnerabilidad de seguridad, comunique sus hallazgos directamente al equipo de seguridad de productos de NETGEAR. Se ofrecen premios Bug Bounty por los informes válidos y elegibles.
Incluya en su informe:
- Productos, modelos, versiones de hardware, firmware o software afectados
- Pasos de reproducción claros/PoC, resultado esperado frente al resultado real
- Impacto en la seguridad o gravedad sugerida
- Sus datos de contacto y cómo acreditarle, o si prefiere permanecer en el anonimato
Para obtener más información, consulte nuestro archivo security.txt.
Gestión de vulnerabilidades y respuesta
Nuestro equipo de seguridad de productos gestiona el ciclo de vida de desarrollo seguro en todas las líneas de productos, incluida la clasificación y divulgación de problemas de seguridad.
Qué esperar:
Respuesta inicial
Los informes se confirman en un plazo de 3 días hábiles en EE. UU.
La clasificación inicial se completa en un plazo de 5 días hábiles en EE. UU.
Actualizaciones sobre la resolución de incidencias
Los investigadores son informados cuando una corrección está lista o se asigna un CVE.
Incentivos y reconocimiento público
Los colaboradores elegibles reciben un premio Bug Bounty y/o reconocimiento público, y son mencionados en el registro CVE si así lo solicitan.
Respetamos las etiquetas FIRST TLP v2.0 en todas nuestras comunicaciones. En su ausencia, tratamos los envíos como TLP: AMBER, que puede compartirse con nuestros socios tecnológicos según sea necesario para el desarrollo o la prueba de correcciones.
Priorización y análisis
Priorizamos la respuesta a los problemas utilizando la metodología Categorización de vulnerabilidades específica para partes interesadas (SSVC) y empleamos el Sistema de puntuación de vulnerabilidades comunes (CVSS) para evaluar la gravedad técnica de los problemas.
Plazos y elegibilidad de productos
Los problemas que requieren atención inmediata activan nuestro plan de respuesta ante incidentes de emergencia y se abordan lo antes posible. En caso contrario, desarrollamos soluciones y correcciones para los productos compatibles a través de nuestros ciclos estándar de desarrollo, control de calidad e implementación por fases. En casos excepcionales, la resolución puede llevar más tiempo cuando depende de terceros u organizaciones de normalización. En tales casos, se mantiene informados a los notificadores.
Todos los problemas que se nos notifican se clasifican para determinar su aplicabilidad a los productos compatibles. Por lo general, solo los productos que aún se encuentran dentro de su período de soporte reciben actualizaciones de seguridad.
Avisos de seguridad
Los avisos de seguridad se publican en la página Avisos de seguridad de NETGEAR. La divulgación pública se coordina para maximizar la seguridad de los usuarios. Los investigadores son reconocidos en los avisos si así lo desean.
Los avisos sobre problemas que requieren atención inmediata se publican tan pronto como sea razonablemente posible. El resto de los problemas se publican en una actualización mensual de parches de seguridad que enumera las vulnerabilidades abordadas.
Asociación con el Programa CVE
NETGEAR es socio del Programa CVE (CNA) y está autorizado para asignar identificadores CVE y publicar registros CVE para vulnerabilidades en todos los productos de NETGEAR, productos de sus filiales y componentes de terceros utilizados en productos NETGEAR que no estén ya cubiertos por el ámbito de otro CNA.
Proceso de asignación
Los ID de CVE y los registros CVE se asignan y publican de acuerdo con las Reglas Operativas de CNA de CVE. Nuestros registros incluyen información de CWE, CVSS y CPE, alineada con nuestros objetivos del Compromiso de Diseño Seguro de CISA.
Dispositivos heredados
Dado que nuestra capacidad para validar vulnerabilidades en dispositivos heredados o sin soporte es limitada, nos basamos en evidencias externas creíbles. Cuando dichas evidencias demuestran la existencia de una vulnerabilidad y su impacto, asignamos un identificador CVE para ayudar a los clientes a comprender y gestionar el riesgo asociado.
Componentes de terceros
Si una vulnerabilidad afecta principalmente a un componente de terceros que cuenta con su propio CNA, coordinamos con dicho CNA y evitamos asignaciones duplicadas.
NETGEAR se alinea con los estándares del sector
Nuestra política y procesos se alinean con estándares, marcos y directrices ampliamente reconocidos:
- ISO/IEC 29147:2018 (divulgación pública de vulnerabilidades) e ISO/IEC 30111:2019 (gestión de vulnerabilidades).
- Marco de desarrollo de software seguro del NIST
- Ley de Ciberresiliencia (CRA, Reglamento (UE) 2024/2847)
- Marco de servicios PSIRT de FIRST
- Principios de
Puerto seguro e investigación de buena fe
Animamos a los investigadores de seguridad a presentar sus hallazgos e informarnos de ellos sin temor a consecuencias legales. Si actúa de buena fe y sigue esta política, NETGEAR considerará dicha investigación como autorizada y no iniciará acciones legales. En caso de que un tercero inicie acciones legales contra un investigador de seguridad por actividades realizadas de conformidad con esta política, NETGEAR hará pública esta autorización.
La buena fe en este contexto implica: evitar violaciones de la privacidad, la destrucción de datos o la interrupción del servicio; no acceder, exfiltrar ni conservar datos que no le pertenezcan; no divulgar públicamente antes de que NETGEAR haya tenido una oportunidad razonable de solucionar el problema; no ayudar a ciberdelincuentes a explotar las vulnerabilidades contra nuestros clientes; detener las pruebas si encuentra datos de usuarios; cumplir con la legislación aplicable.
ÚLTIMA ACTUALIZACIÓN: DICIEMBRE DE 2025
Se aplica a todo el hardware, firmware, software, aplicaciones móviles, servicios en la nube y propiedades web de NETGEAR y sus filiales, salvo que se indique lo contrario.