Es importante hacer un reconocimiento de las contribuciones que realizan los investigadores de la seguridad al ecosistema de seguridad de Microsoft a través del principio de divulgación de vulnerabilidades coordinada. En esta página, se explica el modelo de reconocimiento de investigadores del MSRC: cómo obtener puntos y cómo crearse una reputación.

CÓMO OBTENER PUNTOS

Cada vulnerabilidad válida que se notifique al Centro de respuestas de seguridad de Microsoft obtiene un número de puntos en función de la gravedad y el impacto de la vulnerabilidad. El origen del informe no es importante, siempre que siga el principio CVD. Los informes enviados a través de Zero Day Initiative (ZDI) y de iDefense también pueden obtener puntos. 

En función del total de puntos que consiga, puede obtener un reconocimiento público en nuestro marcador, nuestras clasificaciones y en la lista de investigadores de la seguridad del MSRC más valiosos, además de una invitación a participar en eventos y programas exclusivos. La participación en los programas de reconocimiento público es siempre opcional. De manera predeterminada, se le trata de forma anónima, pero puede elegir que se le reconozca por su nombre o alias.

Funciona de este modo:

No Data Available
¿Cómo puedo ganar puntos?

Se determinan los puntos base según la gravedad y el impacto en la seguridad de la vulnerabilidad que envíe.

CRÍTICA

IMPORTANTE

MODERADA

BAJA

OTROS

EJECUCIÓN REMOTA DE CÓDIGO

60

40

N/D

N/D

N/D

ELEVACIÓN DE PRIVILEGIOS

40

20

N/D

N/D

N/D

DIVULGACIÓN DE INFORMACIÓN

30*

15

N/D

N/D

N/D

SUPLANTACIÓN DE IDENTIDAD

20

15

N/D

N/D

N/D

OMISIÓN DE CARACTERÍSTICAS DE SEGURIDAD

N/D

10

N/D

N/D

N/D

ALTERACIÓN

N/D

10

N/D

N/D

N/D

DENEGACIÓN DE SERVICIO

N/D

5-20**

N/D

N/D

N/D

RECHAZO

N/D

5

N/D

N/D

N/D

OMISIÓN DE MITIGACIÓN***

N/D

N/D

N/D

N/D

60

* Ejemplo de una vulnerabilidad de divulgación de información crítica: CVE-2014-0160
** Una vulnerabilidad de denegación de servicio en la virtualización de Windows obtiene 20 puntos. Las demás obtienen 5 puntos.
*** Los envíos aptos para el programa de recompensas por la detección de omisiones de mitigaciones obtienen 60 puntos, independientemente de la gravedad o del impacto en la seguridad.

¿Cómo puedo obtener puntos extra?

Dependiendo del producto o servicio afectado, se pueden aplicar puntos extra a los puntos base. Las vulnerabilidades notificadas en determinados productos y servicios obtienen puntos extra. Esta lista está sujeta a cambios a lo largo del tiempo, así que no pierda de vista la lista de puntos extra para trabajos de investigación.

ÁREAS DE INVESTIGACIÓN 3X

Azure
Identidad
Windows (virtualización o kernel)
Windows Defender
Omisión de mitigación
Portal del MSRC

ÁREAS DE INVESTIGACIÓN 2X

Windows 
Office 
Edge en Chromium 
Power BI 
Developer Division 
    - .NET
    - Visual Studio
    - PowerShell Core
    - Administrador de paquetes NuGet

 

ÁREAS DE INVESTIGACIÓN 1X

 

 

Las áreas de investigación no incluidas en las listas 3X, 2X o Fuera del ámbito obtienen los puntos base sin modificar.

 

ÁREAS DE INVESTIGACIÓN FUERA DEL ÁMBITO

Vulnerabilidades de toma de control de subdominios 
GitHub*  
LinkedIn*
Productos para los que ha finalizado el soporte técnico

* Actualmente, el Centro de respuestas de seguridad de Microsoft no atiende vulnerabilidades en GitHub o LinkedIn. Para notificar un problema, vaya a los programas de recompensas por la detección de errores en GitHub y LinkedIn.

¿Qué ocurre si informo de una vulnerabilidad que ya había notificado otra persona?

Si es la primera persona que envía un informe de una vulnerabilidad no solucionada, obtiene el 100 % de los puntos. Si es la segunda persona que envía un informe, obtiene el 50 % de los puntos. Los demás informes del mismo problema no reciben ningún punto.

Ejemplo

Un informe de una vulnerabilidad de ejecución remota de código crítica en Windows Hyper-V obtiene 60 puntos y un bono de investigación 3X. 

  • Si es la primera persona que envía un informe de esta vulnerabilidad, obtiene el 100 % de los puntos, 60 x 3 = 180 puntos. 
  • Si su informe es el primer duplicado de esta vulnerabilidad, obtiene el 50 % de los puntos, es decir, 60 x 3 x 0,5 = 90 puntos. 
  • Si una tercera persona notifica la misma vulnerabilidad, no obtiene ningún punto. 
¿Cuándo se asignan los puntos?

Normalmente, asignamos los puntos en un plazo de dos semanas, después de haber comprobado el informe y haber determinado que cumple nuestros criterios de mantenimiento. Los casos complejos pueden requerir más tiempo.

 

PUNTUACIÓN DE LA REPUTACIÓN

La puntuación de la reputación incluye las medidas de precisión e importancia. La puntuación de la reputación no se publica, solo se les proporciona a los investigadores de la seguridad. Una puntuación de reputación alta puede ayudar a acelerar la selección y la valoración de su informe.

 

PRECISIÓN

IMPORTANCIA

MEDIDA PRINCIPAL

Informes de vulnerabilidades válidos

Informes con una gravedad crítica o importante

DEFINICIÓN

Se considera que un informe no es válido cuando se determina que:
• No es una vulnerabilidad de seguridad.
• No se va a corregir.
• No se reproduce.

 

Todos los demás se consideran informes válidos. 

Los informes se estudian y se les asigna una gravedad crítica o importante.

CÁLCULO

Porcentaje de informes de vulnerabilidad válidos del total de informes que envíe.

 

Ejemplo:

• 10 informes en total. 
• 1 informe resuelto como “No es una vulnerabilidad de seguridad”.
• 2 informes resueltos como “No se va a corregir”.
• Informes válidos = 10-1-2 = 7.

 

Cálculo: (7 ÷ 10) x 100 % = 70 %. 
Su puntuación de precisión es: 70

Porcentaje de informes críticos o importantes del total de informes que envíe.

 

Ejemplo:

• 10 informes en total. 
• 3 informes se estudian y se les asigna una gravedad crítica. 
• 3 informes se estudian y se les asigna una gravedad importante. 
• Informes críticos o importantes = 3+3 = 6

Cálculo: (6 ÷ 10) x 100 % = 60 %. 
Su puntuación de importancia es: 60

ESCALA DE PUNTUACIÓN

0-100

0-100