Política de Seguridad de los Productos
Última actualización: 15 de mayo de 2026
1. Introducción
Hitron Technologies diseña y fabrica productos de red conectados, entre los que se incluyen módems y pasarelas de cable DOCSIS, ONT de fibra (PON), routers Wi-Fi y dispositivos de acceso inalámbrico fijo 5G. Nos tomamos muy en serio la seguridad de estos productos y agradecemos los informes de investigadores de seguridad, clientes, operadores y miembros del público que identifiquen posibles vulnerabilidades.
Esta política describe:
- Cómo informar a Hitron de un posible problema de seguridad;
- Qué puede esperar de nosotros tras realizar el informe;
- Las protecciones que ofrecemos a los investigadores de seguridad que actúan de buena fe; y
- Los periodos de soporte definidos durante los cuales Hitron se compromete a proporcionar actualizaciones de seguridad para los productos incluidos en el ámbito de aplicación.
Esta política se publica de conformidad con la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI) de 2022 del Reino Unido, el Reglamento de Seguridad de Productos e Infraestructura de Telecomunicaciones (Requisitos de Seguridad para Productos Conectables Relevantes) de 2023 (en su versión modificada), y se ajusta a normas internacionales como ETSI EN 303 645, ISO/IEC 29147 (divulgación de vulnerabilidades) e ISO/IEC 30111 (procesos de gestión de vulnerabilidades).
Cómo Informar de un Problema de Seguridad
2.1 Contactos para la Notificación
| Región | Correo electrónico |
|---|---|
| Reino Unido (notificaciones reguladas por la PSTI) | [email protected] |
| Todas las demás regiones | [email protected] |
Si no está seguro de qué dirección debe utilizar, envíe su informe a [email protected] y lo remitiremos a quien corresponda.
Se publica un registro de divulgación legible por máquina según la RFC 9116 en:
- https://hitrontech.com/.well-known/security.txt
- https://us.hitrontech.com/.well-known/security.txt
- https://eu.hitrontech.com/.well-known/security.txt
2.2 Comunicación Cifrada
Los informes confidenciales pueden cifrarse utilizando nuestra clave pública PGP, disponible en:
- https://hitrontech.com/.well-known/security-pubkey.asc
- https://us.hitrontech.com/.well-known/security-pubkey.asc
- https://eu.hitrontech.com/.well-known/security-pubkey.asc
ID de usuario principal: Hitron Technologies Product Security
Huella dactilar: 7452 2997 F197 DE1A 77C1 671B 6FD7 F578 34B1 9FB3
2.3 Qué incluir en tu informe
Para ayudarnos a clasificar y resolver los problemas con rapidez, te rogamos que incluyas, siempre que sea posible:
- Modelos de producto afectados y revisión de hardware;
- Versión de firmware (visible en la interfaz de usuario web del producto, en «Estado» o «Información del sistema»);
- Una descripción clara de la vulnerabilidad y su posible impacto;
- Instrucciones paso a paso para reproducir el problema, incluyendo cualquier requisito de red necesario;
- Código de prueba de concepto, capturas de pantalla, capturas de paquetes o registros, según corresponda;
- Si el problema se ha comunicado a alguna otra parte (CERT, operador, intermediario, etc.);
- Su nombre preferido (o seudónimo) para el reconocimiento, y si desea permanecer en el anonimato.
Puede enviar los informes en inglés o francés.
3. Qué puede esperar de Hitron
Cuando envía un informe, Hitron se compromete a seguir el siguiente proceso. Estos compromisos se aplican a todos los informes y constituyen la base de nuestro cumplimiento del anexo 1, apartado 2, del Reglamento de 2023 sobre seguridad de los productos y la infraestructura de telecomunicaciones (requisitos de seguridad para los productos conectables pertinentes) (en su versión modificada), así como de la norma ISO/IEC 29147.
3.1 Confirmación de recepción
Le confirmaremos la recepción de su informe en un plazo de tres (3) días hábiles..
3.2 Evaluación inicial y validación
En un plazo de quince (15) días hábiles a partir de la recepción de la notificación, le proporcionaremos una evaluación inicial en la que se indicará si el informe ha sido validado, si requiere información adicional o si se ha determinado que queda fuera de nuestro ámbito de competencia. Durante la evaluación inicial, es posible que nos pongamos en contacto con usted para solicitarle aclaraciones o detalles adicionales sobre la reproducción del problema.
3.3 Actualizaciones sobre el estado
Hasta que se resuelva el problema o se cierre el caso, proporcionaremos actualizaciones sobre el estado al menos cada treinta (30) días, incluyendo cualquier cambio en la evaluación de la gravedad, el calendario de resolución o el estado de la coordinación.
3.4 Plazos de resolución
Hitron hará todo lo comercialmente posible para cumplir los plazos de corrección previstos, contados a partir de la validación del problema, tal y como se establece a continuación:
| Gravedad (CVSS v3.1) | Plazo |
|---|---|
| Crítica (9,0–10,0) | 30 días |
| Alta (7,0–8,9) | 60 días |
| Media (4,0–6,9) | 90 días |
| Baja (0.1–3.9) | 180 días, o la próxima versión programada |
Estos plazos son orientativos y no vinculantes, y pueden ampliarse a discreción de Hitron, incluyendo, entre otras, circunstancias en las que la corrección requiera la coordinación con proveedores de chips, proyectos de código abierto, operadores de telecomunicaciones u organismos CERT.
3.5 Divulgación coordinada
Los productos de Hitron se suministran principalmente a operadores de red, quienes los implementan para los usuarios finales mediante un proceso de aprovisionamiento controlado por el operador. Por lo tanto, la corrección de las vulnerabilidades validadas se coordina con el operador o los operadores afectados y, cuando proceda, con los organismos de coordinación del sector pertinentes.
La divulgación pública se producirá normalmente una vez que esté disponible una versión de firmware correctiva y se haya distribuido a los operadores afectados. Hitron mantiene un plazo de divulgación coordinada predeterminado de 90 días a partir de la fecha de validación, que podrá ampliarse de mutuo acuerdo cuando la corrección sea de gran complejidad o cuando los plazos de implementación de los operadores requieran tiempo adicional.
4. Política de Protección para Investigadores de Seguridad
Hitron no iniciará ni respaldará acciones legales contra los investigadores de seguridad que, de buena fe:
- Investiguen y notifiquen vulnerabilidades en los productos de Hitron de conformidad con esta política;
- Hagan un esfuerzo razonable y de buena fe para evitar violaciones de la privacidad, interrupciones del servicio o la destrucción de datos;
- Se abstengan de acceder a datos pertenecientes a otros usuarios u operadores más allá de lo mínimo necesario para demostrar la vulnerabilidad;
- Se abstengan de divulgar públicamente la vulnerabilidad antes de que Hitron haya tenido una oportunidad razonable de subsanarla, de conformidad con la sección 3.5; y
- Se abstengan de la extorsión, las exigencias de pago a cambio de la no divulgación o el tráfico de detalles sobre la vulnerabilidad.
Esta cláusula de salvaguardia se aplica únicamente a las acciones dirigidas a los productos y la infraestructura de Hitron. No autoriza actividades contra redes operadas por clientes de Hitron (por ejemplo, operadores de cable o fibra) o terceros. Los investigadores deben asegurarse de que sus pruebas se realicen en equipos de su propiedad o en los que estén expresamente autorizados a realizar pruebas.
Hitron no cuenta actualmente con un programa de recompensa por errores. Proporcionaremos una confirmación por escrito de la divulgación a los investigadores que la soliciten para fines de su portfolio o currículum.
5. Fuera del ámbito de Aplicación
Por lo general, se considera que los siguientes casos quedan fuera del ámbito de aplicación de esta política:
- Notificaciones de vulnerabilidades en productos que han llegado al final de su soporte técnico (véase la sección 7);
- Hallazgos de escáneres automatizados sin impacto demostrable;
- Ataques de denegación de servicio contra la infraestructura o los productos de Hitron;
- Ingeniería social dirigida a empleados, clientes o proveedores de Hitron;
- Ataques físicos contra las oficinas o instalaciones de Hitron;
- Problemas que requieran acceso local privilegiado cuando dicho acceso sea intencionado (por ejemplo, acceso a la consola de depuración en dispositivos abiertos con herramientas no estándar);
- Vulnerabilidades teóricas sin una vía de ataque demostrada;
- Desviaciones de las mejores prácticas (configuración TLS, presencia de encabezados) sin impacto demostrable en la seguridad;
- Vulnerabilidades en servicios de terceros (plataformas en la nube, sitios de socios) que no son operados por Hitron.
Si no está seguro de si un hallazgo entra dentro del ámbito de aplicación, por favor, infórmenos; preferimos recibir un informe fuera de ámbito que pasar por alto un problema real.
6. Privacidad y Confidencialidad
Hitron trata todos los informes de vulnerabilidades de forma confidencial. No revelaremos su identidad, sus datos de contacto ni los detalles técnicos de su informe fuera de Hitron sin su consentimiento explícito, salvo cuando sea necesario para una corrección coordinada (por ejemplo, con los operadores afectados u organismos CERT bajo embargo) o cuando así lo exija la ley.
La información personal facilitada en relación con un informe se trata de conformidad con la Política de privacidad de Hitron, disponible en https://hitrontech.com/legal/privacy-policy/.
7. Soporte para Actualizaciones de Seguridad de Productos
Hitron se compromete a proporcionar actualizaciones de seguridad para los productos conectables de consumo incluidos en el ámbito de aplicación durante los periodos de soporte definidos que se enumeran a continuación. Estos periodos se publican de conformidad con el anexo 1, apartado 3 (periodo de soporte definido), del Reglamento de 2023 sobre seguridad de productos e infraestructura de telecomunicaciones (Requisitos de seguridad para productos conectables pertinentes) (en su versión modificada), y tienen vigencia a partir de la fecha en que el producto se pone a la venta por primera vez en el mercado correspondiente.
De conformidad con el PSTI:
- El periodo de soporte definido para cualquier producto no se acortará tras su publicación.
- Si se amplía el periodo de soporte, el nuevo periodo se publicará tan pronto como sea razonablemente posible.
- Dentro del periodo de soporte definido, Hitron evaluará y abordará los problemas de seguridad que afecten al producto y, cuando sea factible su corrección, publicará actualizaciones de firmware a través del canal de distribución adecuado (normalmente el operador de red o el proveedor de servicios).
7.1 Periodos de Soporte Definidos(Productos regulados por la PSTI en el Reino Unido)
| Producto | Soporte definido hasta (DD/MM/AAAA) |
|---|---|
| CHITA | 31/12/2026 |
7.2 Distribución de Actualizaciones
Los productos de Hitron se suministran normalmente a operadores de red (operadores de cable, proveedores de Internet de fibra óptica y operadores de redes móviles), quienes gestionan la distribución del firmware a los usuarios finales a través de sistemas de aprovisionamiento controlados por el operador. Cuando se publica una actualización de seguridad, Hitron la pone a disposición del operador correspondiente; la posterior implementación entre los usuarios finales se rige por la periodicidad de actualizaciones propia del operador.
8. Información Reglamentaria sobre la PSTI del Reino Unido
En esta sección se recoge la información reglamentaria y los plazos que Hitron está obligada a definir y publicar en virtud del Reglamento del Reino Unido sobre seguridad de los productos y la infraestructura de telecomunicaciones (Requisitos de seguridad para productos conectables pertinentes) de 2023 (en su versión modificada).
- Punto de contacto para notificar problemas de seguridad:: [email protected]
- Compromiso de acuse de recibo: en un plazo de tres (3) días hábiles desde la recepción (Sección 3.1).
- Compromiso de actualización del estado: al menos cada treinta (30) días hasta su resolución (Sección 3.3).
- Periodo mínimo definido para las actualizaciones de seguridad: véase la tabla de la sección 7.1.
- Contraseñas: los productos de Hitron sujetos al régimen PSTI no utilizan contraseñas predeterminadas universales. Los dispositivos se envían con credenciales predeterminadas únicas para cada dispositivo o requieren credenciales definidas por el usuario en la primera configuración, de conformidad con los requisitos de contraseñas del PSTI.
Los productos incluidos en el ámbito de aplicación van acompañados de una declaración de conformidad, tal y como exige la normativa.
Para obtener información general sobre el régimen PSTI:https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
9. Actualizaciones de esta Política
Hitron podrá actualizar esta política periódicamente. Los cambios sustanciales se reflejarán en la fecha de «Última actualización» que figura en la parte superior de la página. Los periodos de asistencia definidos, una vez publicados, no se acortarán.
10. Contacto
Para cualquier asunto relacionado con la seguridad de los productos:
- General / Internacional: : [email protected]
- Reino Unido (PSTI): [email protected]
Se aceptan envíos cifrados; consulte la sección 2.2 para obtener la clave pública.