Keenetic Product Security Advisory

Emisor y alcance: la entidad emisora de esta Política es Keenetic GmbH, Berliner Straße 300b, 63067 Offenbach am Main, Alemania. Esta Política se establece como la Política estándar que rige todas las entidades de Keenetic en todo el mundo.

Como investigador de seguridad o informador de vulnerabilidades, su trabajo es vital para reforzar la seguridad de los productos e infraestructuras digitales. Hemos creado esta Política de divulgación coordinada de vulnerabilidades («DCV») para garantizar que sus hallazgos se traten con respeto, se gestionen de forma responsable y se actúe sobre ellos con rapidez. En dicha Política, se establece la forma en que Keenetic (denominado «Keenetic GmbH» o «nosotros») responderá a sus informes, las garantías que puede esperar y los pasos que conducen a un proceso de divulgación exitoso.

Además, queremos asegurarnos de que sus contribuciones sean valoradas. Le animamos a participar en el Programa de Recompensas por Errores de Keenetic, que ofrece recompensas económicas para expresar nuestro agradecimiento y fomentar la colaboración continua.

Al participar en este proceso, no solo ayuda a proteger a los usuarios y a las organizaciones, sino que también se une a una comunidad en la que su experiencia será reconocida y recompensada. Juntos, podemos hacer que los productos de Keenetic sean más seguros, generar confianza y crear un ecosistema digital más sólido.

Ⅰ. Alcance de la Política DCV: qué consideramos una vulnerabilidad válida

Una vulnerabilidad válida, en el contexto de esta Política, se entiende como una debilidad, fallo o problema de seguridad que afecta directamente a uno de los productos o a la infraestructura de Keenetic, y que podría explotarse.

Para que un informe sea válido, la información revelada no debe ser conocida públicamente. De este modo, se garantiza que el informe aporta conocimientos nuevos y remediables al proceso de seguridad. Además, los informes generados únicamente por herramientas o escaneos automatizados sin la documentación de apoyo suficiente no se consideran adecuados, ya que carecen de las pruebas necesarias para permitir un análisis significativo y una corrección de una vulnerabilidad válida. Lo ideal es que cada informe contenga detalles de apoyo para que podamos centrarnos en los problemas reales y responder con mayor rapidez.

Ⅱ. Cómo informar de una vulnerabilidad

Cuando descubra una vulnerabilidad válida, presente un informe utilizando los siguientes canales.

Correo electrónico: puede enviarnos un correo electrónico a security@keenetic.com para garantizar su correcta coordinación y seguimiento.

Formulario web: proporcionamos un formulario de envío web seguro en nuestra página de divulgación de vulnerabilidades: https://keenetic.com/security/anonymous-reporting-form. Este formulario permite la presentación de informes anónimos. No es necesario que nos proporcione sus datos personales para enviar un informe; sin embargo, tenga en cuenta que, si nos envía un informe de forma anónima, no podremos hacerle preguntas de seguimiento, lo cual podría limitar nuestra capacidad para investigar el problema. El formulario web está disponible en inglés y le guía para que incluya los datos clave que necesitamos.

Security.txt: en nuestro sitio web, hay un archivo keenetic.com/security.txt que enumera nuestros datos de contacto y preferencias de divulgación de vulnerabilidades. Los informantes pueden consultar este archivo para obtener información actualizada sobre cómo ponerse en contacto con nosotros.

Al enviar un informe, incluya tantos detalles técnicos como sea posible. Con ello nos ayudará a clasificar y solucionar el problema más rápidamente. Le sugerimos que proporcione lo siguiente:

• Una descripción de la vulnerabilidad y su posible impacto. ¿Qué podría conseguir un atacante? ¿Qué aspectos de la confidencialidad/integridad/disponibilidad están en riesgo? ¿Cuál podría ser el sistema afectado en la infraestructura de TI de Keenetic (por ejemplo, sistemas corporativos de Keenetic, sistema operativo, aplicación, supervisión y adminitración remotas, nube y cuenta de Keenetic)?

• Nombres de productos, versiones y configuraciones específicas afectadas (en caso de sitios web o servicios, incluya URL o IP; si se trata de hardware o software, incluya números de modelo o versión).

• Pasos para reproducir el problema, por ejemplo, qué comandos, entradas o acciones desencadenan la vulnerabilidad. Las capturas de pantalla o el código de prueba de concepto (PoC) son muy útiles.

• Si se conoce, cualquier solución sugerida o referencia a correcciones (opcional, pero bienvenido).

• Sus datos de contacto (nombre o alias, y un método seguro para contactarle) si desea obtener una respuesta. Puede enviar el informe de forma anónima, pero entonces no podremos comunicarnos con usted para pedirle aclaraciones o para ofrecerle actualizaciones sobre el caso.

Información voluntaria: el informante puede proporcionar voluntariamente información de contacto para la coordinación, pero no está obligado a presentar información de identificación personal. Puede utilizar nuestro formulario anónimo de notificación que se encuentra en nuestro sitio web.

Ⅲ. Qué esperamos de usted: Código de conducta

Solo recompensamos a los informantes y reconocemos sus logros en el marco de esta Política DCV que se adhieren a altos estándares de integridad y comportamiento responsable al descubrir y notificar vulnerabilidades. Por lo tanto, no toleramos los siguientes comportamientos:

• Pruebas que no sean de buena fe: los informantes solo realizarán pruebas que no sean disruptivas y que sean necesarias para confirmar la existencia de la vulnerabilidad (prueba de concepto). No deben comprometer intencionadamente los datos de los usuarios, interrumpir los servicios ni dañar los sistemas.

• Explotación más allá de las pruebas: la explotación activa de una vulnerabilidad más allá de la prueba de concepto inicial está estrictamente prohibida. En particular, no abuse de la vulnerabilidad para comprometer datos, alterar configuraciones, aprovecharla para acceder a otros sistemas o acceder persistentemente a nuestros sistemas. Desencadenar el problema para demostrar su existencia es suficiente: no descargue, por ejemplo, más datos de los necesarios para demostrar el fallo. Si encuentra información sensible (como datos personales de usuarios o material de propiedad exclusiva), cese las pruebas e infórmenos inmediatamente, y no divulgue ni conserve esa información.

• Ingeniería social o ataques físicos: no utilice técnicas de ingeniería social (correos electrónicos de phishing, pretexting telefónico, etc.) contra nuestros empleados o sistemas, y no realice ninguna prueba de seguridad física (como intentar entrar en nuestras oficinas o centros de datos). Esta política se limita a las vulnerabilidades técnicas de nuestros productos e infraestructuras, y excluye los vectores de ataque sociales y físicos.

• Ataques de denegación de servicio o fuerza bruta: absténgase de realizar ataques DoS/DDoS o cualquier prueba que pueda afectar la disponibilidad de nuestros servicios para los usuarios, así como ataques de fuerza bruta. Queremos evitar cualquier interrupción del servicio para nuestros clientes.

• Ataques a terceros o públicos: no busque vulnerabilidades en servicios o productos de terceros que utilicemos (en su lugar, notifíquelo directamente a dichos proveedores). Del mismo modo, no realice pruebas en sistemas que no sean de nuestra propiedad u operados por nosotros. Si accede inadvertidamente a datos o sistemas de otras partes durante su investigación, notifíquenoslo y cese cualquier acción posterior. No comprometa ni manipule datos de ningún tercero durante la investigación.

• Brechas de confidencialidad y uso de la información: los informantes mantendrán la confidencialidad de los detalles de las vulnerabilidades y no divulgarán, venderán ni distribuirán públicamente el código de explotación o los detalles técnicos que permitirían su explotación hasta que Keenetic haya proporcionado un aviso público o haya autorizado de otro modo la divulgación. Esto no restringe al informante de notificar a las autoridades competentes, a una institución de respuesta nacional ante incidentes de seguridad informática o a las fuerzas de seguridad cuando lo exija la ley o cuando la divulgación inmediata sea necesaria para evitar un daño inminente.

Plazo de corrección: se concederá a Keenetic un plazo de corrección razonable, basado en la gravedad, para investigar, subsanar y distribuir las actualizaciones de seguridad. Si Keenetic no subsana o no proporciona una mitigación creíble en un plazo razonable, el informante podrá notificarlo a una institución de respuesta nacional ante incidentes de seguridad informática o a la autoridad competente.

Si un informante infringe inadvertidamente parte de este Código de conducta, nos comprometemos a seguir gestionando cualquier vulnerabilidad descubierta de buena fe en la medida de nuestras posibilidades. Sin embargo, es posible que dicho informante no reciba ninguna recompensa.

Ⅳ. Nuestro compromiso con usted cuando se nos informa de una vulnerabilidad

Todos los informes entrantes se tratan en la mayor medida posible. Por lo tanto, usted debe proporcionar al menos una opción de contacto válida al informarnos de una vulnerabilidad. Por supuesto, puede informarnos de una vulnerabilidad de forma anónima.

1. Respuesta

Después de que nos envíe un informe de vulnerabilidad, le haremos saber que lo hemos recibido. Será una respuesta personal de nuestro equipo de seguridad. Si necesitamos aclaraciones o información adicional, se las pediremos lo antes posible. Tenga en cuenta que, en el caso de enviarnos un informe de forma anónima, por razones obvias, no podremos responder, pero procederemos a investigar el caso. Para la transmisión de información confidencial, necesitamos que nos proporcione al menos su correo electrónico para poder utilizar nuestra clave de cifrado PGP disponible en https://keenetic.com/es/security/keenetic-security-pgp-public-key.asc

Tras un análisis más detallado del informe, le comunicaremos si confirmamos o rechazamos la vulnerabilidad notificada, le haremos preguntas pertinentes para comprender la vulnerabilidad notificada o le daremos una explicación de por qué la investigación de la vulnerabilidad notificada está tardando más de lo esperado.

2. Comunicación confidencial

Nos aseguramos, en la medida permitida por la ley, de que cada informe de vulnerabilidad entrante se trate de forma confidencial y de que sus datos personales no se divulguen a terceros sin su consentimiento explícito.

La información requerida para la divulgación pública de la vulnerabilidad validada y verificada se divulga públicamente en la medida en que estemos obligados por ley.

3. Informes anónimos (opcional)

Puede utilizar nuestro formulario anónimo de notificación en el sitio web.

Aunque respetamos su deseo de permanecer en el anonimato, tenga en cuenta que los informes anónimos solo pueden procesarse de forma limitada o, posiblemente, no procesarse en absoluto, debido a la imposibilidad de realizar consultas técnicas o relacionadas con el contenido, especialmente en el caso de problemas complejos.

4. Comunicación respetuosa y abierta

Toda la comunicación será profesional y le trataremos con respeto. Esperamos la misma cortesía a cambio: no toleramos ninguna forma de discriminación, acoso o falta de respeto en las comunicaciones por ambas partes.

Nuestro equipo de seguridad podría ponerse en contacto con usted para hacerle preguntas con el fin de comprender mejor el problema o solicitar artefactos técnicos e instrucciones reproducibles para que la vulnerabilidad pueda ser reproducida y corregida. Puede solicitarnos actualizaciones del caso en cualquier momento. Consideramos que las consultas de seguimiento son bienvenidas, siendo una señal de su interés, no una molestia.

Ⅴ. Coordinación y finalización de la divulgación

Las vulnerabilidades validadas y verificadas se divulgan públicamente por parte de Keenetic. La notificación pública incluye:

• una descripción de la vulnerabilidad;

• información que permita a los usuarios identificar los productos/versiones afectados;

• el impacto y la gravedad;

• instrucciones claras sobre cómo aplicar medidas correctoras o un parche.

El proceso de divulgación coordinada de vulnerabilidades se considera completo si la vulnerabilidad se ha mitigado o corregido con medidas apropiadas, si se ha divulgado públicamente o si los indicios del informe de vulnerabilidad son infundados y, por lo tanto, el informe solo podría procesarse de forma limitada o no procesarse en absoluto.

Consideramos que un proceso de DCV ha finalizado cuando se produce una de las siguientes situaciones:

• se ha implementado una corrección o mitigación y se ha publicado un aviso público; o

• se determinó que el problema notificado no era una vulnerabilidad (falso positivo o fuera de alcance), habiéndolo comunicado al informante; o

• no podemos reproducir el problema o necesitamos más información y el informante no responde durante un período prolongado (generalmente 30 días), en cuyo caso cerramos la incidencia a la espera de nueva información.

Nos ponemos en contacto con el informante al finalizar el proceso de DCV para comunicárselo, a menos que la vulnerabilidad se haya notificado de forma anónima.

Ⅵ. Recompensas

Apreciamos profundamente los esfuerzos de los informantes y de otras personas que nos comunican vulnerabilidades de forma privada. Como muestra de agradecimiento, gestionamos un Programa de Recompensas por Errores. Los investigadores de seguridad externos que informen responsablemente de las vulnerabilidades de acuerdo con esta política podrían optar a una recompensa económica como muestra de agradecimiento. El importe de las recompensas se determina individualmente en función de la gravedad de la vulnerabilidad notificada, tal y como se describe en nuestros Términos y condiciones del Programa de Recompensas por Errores.

Ⅶ. Protección jurídica

Al adherirse a esta Política de DCV, Keenetic reconoce que el informante está participando en una investigación de «buena fe» y no presentará cargos penales contra el informante en relación con las actividades de investigación.

Keenetic (en adelante, «Keenetic», «nosotros») gestiona un Programa de Recompensas por Errores (en adelante, el «Programa»). El Programa se rige por estos Términos y condiciones del Programa de Recompensas por Errores y por la Política de divulgación coordinada de vulnerabilidades (en adelante, la «Política DCV»). En conjunto, estos documentos constituyen los términos legales vinculantes del Programa (en adelante, los «Términos»).

1. Descripción general del Programa

(1) El objetivo del Programa es mejorar la seguridad de nuestros productos y proteger los datos de los usuarios aprovechando la experiencia externa, de conformidad con nuestros Términos. Al enviar un informe de vulnerabilidad o participar en el Programa de cualquier otra forma, usted acepta los Términos.

(2) Una vulnerabilidad válida, en el contexto de los Términos, se entiende como una debilidad, un fallo o un problema de seguridad que afecta directamente a la infraestructura de los productos de Keenetic y que podría aprovecharse. El importe de cualquier recompensa se determina de forma individual en función de la gravedad de la vulnerabilidad notificada.

(3) Las decisiones tomadas por Keenetic con respecto a las Recompensas por errores son definitivas y vinculantes. Keenetic podría cambiar o cancelar este Programa en cualquier momento y por cualquier motivo.

2. Protección jurídica

(1) Consideramos autorizadas las actividades realizadas en cumplimiento de nuestros Términos; esto significa que no iniciaremos acciones legales (civiles o penales) contra usted por sus esfuerzos de buena fe en el marco del Programa.

(2) En particular, esta garantía se aplica únicamente si usted cumple los Términos del Programa. No podemos inmunizarle de las consecuencias legales iniciadas por terceros o autoridades por acciones que excedan nuestro alcance. Se espera que usted cumpla siempre con las leyes aplicables y se abstenga de cualquier acción que vaya más allá de lo que se permite aquí. Si tiene dudas sobre si una acción está permitida, deténgase y consúltenos primero (véase la información de contacto en el «Procedimiento para informar de una vulnerabilidad y Código de conducta» de la Política de divulgación coordinada de vulnerabilidades de Keenetic).

3. Alcance del Programa

(1) El Programa cubre los siguientes productos, servicios y sitios web de nuestra organización (en adelante, los «sistemas dentro del alcance»):

• Aplicaciones web: por ejemplo, nuestro sitio web oficial y sus subdominios, portales de clientes y servicios en línea.
• Aplicaciones móviles/de escritorio: las últimas versiones de nuestras aplicaciones (para Android, iOS, Windows) distribuidas a través de las tiendas de aplicaciones oficiales.
• API e infraestructura: API documentadas públicamente y servicios de back-end de nuestra propiedad.
• Dispositivos de hardware/IoT: cualquier producto de hardware con su firmware.

(2) Solo las vulnerabilidades que afecten directamente a estos sistemas dentro del alcance son elegibles para recibir recompensas. Si tiene dudas sobre si un sistema está dentro del alcance, consúltenoslo antes de realizar las pruebas. Es posible que actualicemos el alcance de vez en cuando (por ejemplo, añadiendo nuevos objetivos o suspendiendo temporalmente algunos sistemas). Tales cambios se indicarán en la página web de nuestro Programa.

(3) Para evitar dudas, los siguientes sistemas están fuera del alcance, y su prueba no está autorizada (en adelante, «sistemas fuera del alcance»):

• Servicios o infraestructura de terceros: las vulnerabilidades en plataformas de terceros que utilizamos (proveedores de la nube, herramientas SaaS, etc.) deben ser comunicadas a dichos proveedores, no a nosotros. No se permiten ataques o escaneos contra nuestros proveedores o socios.
• Activos que no son de nuestra propiedad: cualquier sitio web, aplicación o sistema que no esté expresamente enumerado como sistema dentro del alcance (incluidos los dominios que no pertenecen a nuestra empresa).
• Denegación de servicio: cualquier ataque que interrumpa el servicio (DoS/DDoS) o que fuerce un gran número de solicitudes o intentos de inicio de sesión.
• Ingeniería social y ataques físicos: la manipulación de nuestros empleados o usuarios (a través de phishing, vishing, etc.) o el intento de obtener acceso físico a las oficinas están estrictamente prohibidos. El Programa se limita a las vulnerabilidades técnicas.
• Violaciones de la privacidad: acceder, copiar o modificar datos que no sean suyos. Por ejemplo, la extracción de información personal de otros usuarios o datos de propiedad exclusiva está fuera del alcance, incluso si una vulnerabilidad lo hace teóricamente posible. Si durante las pruebas encuentra datos de otra persona, deténgase inmediatamente e infórmenos del problema. No siga explorando dichos datos.

4. Elegibilidad del Programa

(1) Este Programa está destinado a investigadores de seguridad externos. Para participar en él y recibir cualquier recompensa, debe cumplir cada uno de los siguientes criterios de elegibilidad.

a. Edad mínima
Debe tener al menos 18 años. Si es mayor de 14, pero menor de 18 (o menor de edad correspondiente a la mayoría de edad en su país), debe tener el permiso de su padre, madre o tutor/a legal para participar. En cualquier caso, no se admiten participantes menores de 14 años.

b. Permiso individual o de la organización
Puede participar a título individual o en nombre de su empleador. Si nos informa de errores en el transcurso de su empleo o utiliza los recursos de su empleador, asegúrese de que su empleador le permita participar en programas de recompensas por errores. Es su responsabilidad revisar sus acuerdos o políticas de empleo.

c. Exclusión de empleados/contratistas actuales o recientes
Los empleados de Keenetic o de sus filiales no son elegibles. Esto incluye a cualquier persona que haya dejado de trabajar para nosotros en los últimos 6 meses, así como a cualquier persona que trabaje actualmente para nosotros como contratista, consultor o becario con acceso a nuestros sistemas internos. Los familiares directos (cónyuge, padre/madre, hijo/a, hermano/a) de nuestros empleados tampoco son elegibles. Con ello se garantiza la equidad y se evitan conflictos de intereses.

d. Sector público
Si es un empleado del sector público (por ejemplo, del gobierno, fuerzas del orden, fuerzas armadas o sector educativo), solo puede participar a título personal, sin representar su cargo oficial. Es su responsabilidad asegurarse de que la aceptación de una recompensa por nuestra parte no infrinja ninguna ley o norma ética que le sea aplicable.

e. Informes múltiples y duplicados
Si varios investigadores informan de la misma vulnerabilidad, solo el primer informe que recibamos será elegible para una Recompensa por errores, siempre que se cumplan nuestros Términos. Si un informe posterior contiene nueva información que no conocíamos, podríamos, a nuestra discreción, conceder una recompensa parcial al informante posterior. Tenga en cuenta que es posible que ya estemos en proceso de solucionar un problema cuando usted lo notifique; si es así, se lo comunicaremos, y es posible que dicho caso no dé derecho a una recompensa, si lo consideramos un problema conocido.

(2) Nos reservamos el derecho de descalificar a cualquier Participante que no cumpla con estos criterios o que se descubra que infringe la intención de estas reglas. No se pagarán Recompensas por errores a ninguna persona que esté en una lista de sanciones o a quien nos sea legalmente inadmisible compensar. Si tiene preguntas sobre la elegibilidad o necesita alguna aclaración, póngase en contacto con nosotros.

5. Procedimiento para informar de una vulnerabilidad y Código de conducta

(1) Tal como se establece de manera exhaustiva en la Política DCV, Keenetic proporciona múltiples canales seguros para informar de vulnerabilidades válidas, incluidos los siguientes:

• correo electrónico (security@keenetic.com),
• formulario web en https://keenetic.com/security/anonymous-reporting-form y
• archivo security.txt alojado en nuestro sitio web.

(2) Los informes deben incluir detalles técnicos exhaustivos, como una descripción de la vulnerabilidad, su posible impacto, los sistemas afectados, las versiones del producto y los pasos para reproducirla, acompañados de material de prueba de concepto, siempre que sea posible.

(3) Se permite la presentación de informes anónimos; sin embargo, esto podría limitar la comunicación de seguimiento. Se espera que todos los informantes se adhieran a nuestro Código de conducta establecido en la Política DCV, que prohíbe, por ejemplo, las pruebas disruptivas, la explotación más allá de la prueba de concepto, la ingeniería social, los ataques físicos, la denegación de servicio, los intentos de fuerza bruta y los ataques a sistemas de terceros.

6. Recompensas

(1) El Programa ofrece Recompensas por errores en caso de proporcionar informes de vulnerabilidades elegibles y validados. Nuestro objetivo es reconocer y recompensar a los investigadores de seguridad de manera justa, basándonos en la gravedad y el impacto de sus hallazgos. Al mismo tiempo, somos transparentes sobre cómo se determinan las recompensas.

(2) Clasificamos las vulnerabilidades notificadas en función de su impacto y explotabilidad en las siguientes categorías: baja, media, alta y crítica. En cada categoría, tenemos establecidos rangos de recompensa típicos (en dólares estadounidenses). Una estructura de recompensa típica podría incluir lo siguiente:

(3) El importe real de la recompensa en cada caso individual se determina a la sola discreción de Keenetic después de que nuestro equipo de seguridad haya validado la vulnerabilidad notificada y evaluado su gravedad. Tenemos en cuenta factores como la clasificación y la sensibilidad, así como la cantidad de sistemas/datos afectados, la facilidad de explotación y el riesgo general para nuestros usuarios y nuestra organización.

(4) No se pagará ninguna recompensa en los siguientes casos:
a. falta de indicadores Secure/HTTPOnly en cookies no confidenciales;
b. informes duplicados de problemas de seguridad, incluidos los problemas de seguridad que ya se han identificado internamente;
c. ataques de escaneo automatizado;
d. ataques de denegación de servicio distribuido y ataques de denegación de servicio;
e. errores de interfaz de usuario (UI), de experiencia de usuario (UX), errores ortográficos y problemas de usabilidad;
f. infracciones de licencias u otras restricciones aplicables a cualquier producto de un proveedor;
g. vulnerabilidades que son resultado de malware;
h. problemas de seguridad teóricos sin un escenario de explotación realista ni superficies de ataque, o problemas que requerirían interacciones complejas del usuario final para ser explotados;
i. vulnerabilidades cuyo impacto se considere inferior al nivel P1;
j. descubrimiento de cualquier servicio en uso cuya versión contenga vulnerabilidades conocidas (como una versión específica del Kernel de Linux o de OpenSSL) sin una demostración de intrusión, recuperación de información o interrupción del servicio utilizando esa vulnerabilidad;
k. uso de los hallazgos de una vulnerabilidad para crear nuevas explotaciones para probar funcionalidades normalmente inaccesibles, por ejemplo, utilizando datos personales filtrados, si no hay pruebas de que una vulnerabilidad pueda ser aprovechada en mayor grado;
l. vulnerabilidades en software y servicios de terceros.

(4) Si un Participante infringe cualquier disposición de los Términos, Keenetic puede reducir, retener o exigir la devolución de la totalidad o parte de cualquier recompensa pagada o por pagar con respecto a la vulnerabilidad pertinente. El importe de tal reducción será proporcional a la gravedad de la infracción y podría tener en cuenta factores como la naturaleza de la infracción, el grado de culpabilidad y cualquier daño real o potencial causado.

7. Pagos

(1) Para recibir el pago, deberá proporcionarnos los datos necesarios (como el método de pago o los datos fiscales, si fuese necesario). Las Recompensas se pagarán, por lo general, en dólares estadounidenses ($) o, si lo especificamos, en otra moneda como EUR (lo aclararemos durante el proceso de concesión). A menudo podríamos adaptarnos a una moneda de pago preferida al tipo de cambio en el momento del pago.

(2) Tenga en cuenta que las Recompensas por errores se consideran, por lo general, ingresos sujetos a impuestos. Usted es la única persona responsable de pagar cualquier impuesto que corresponda en su jurisdicción por la recompensa. Es posible que le pidamos que rellene ciertos formularios fiscales (especialmente si se encuentra en un país diferente) antes de realizar el pago. Si no puede o no quiere completar la documentación requerida, el pago podría retrasarse o anularse.

8. Derechos de autor

(1) Usted conserva los derechos de propiedad intelectual con respecto a su notificación. Sin embargo, al enviarnos un informe de vulnerabilidad, nos concede una licencia no exclusiva, perpetua, irrevocable, mundial y libre de regalías para usar, modificar, probar, crear obras derivadas, compartir y publicar la información de su informe con el fin de abordar la vulnerabilidad y mejorar la seguridad.

(2) Por ejemplo, podemos utilizar el código de prueba de concepto enviado para reproducir el problema, revelar detalles a un proveedor externo si es necesario (para coordinar una solución en un componente) e incluir detalles relevantes en nuestros avisos públicos. Usted también acepta que cualquier material que envíe es su trabajo original o que tiene el derecho legal de proporcionarlo.

9. Restricciones de divulgación

(1) Investigaremos la vulnerabilidad que ha notificado y trataremos de resolverla lo antes posible. Si desea publicar detalles de sus hallazgos, póngase en contacto con nosotros primero para obtener la aprobación. Durante los 30 días posteriores a la corrección de la vulnerabilidad, le pedimos que no divulgue el código de explotación de prueba de concepto detallado ni cualquier otra información que pueda facilitar ataques a nuestros productos digitales. Keenetic le notificará cuando se haya corregido la vulnerabilidad que nos haya notificado.

(2) Cualquier incumplimiento de esta sección puede obligarle a devolver las recompensas concedidas por detectar la vulnerabilidad y podría dar lugar a su exclusión de la participación futura en el Programa.

10. Responsabilidad

(1) Nuestra responsabilidad por incumplimiento de los Términos y por actos ilícitos se limitará al dolo y la negligencia grave.

(2) La limitación de responsabilidad a la que se refiere el apartado 1 no se aplicará a lo siguiente:

a. los daños a la vida, la integridad física y la salud del Participante o

b. las reclamaciones del Participante por incumplimiento de obligaciones cardinales, es decir, obligaciones que se derivan de la naturaleza de los Términos y cuyo incumplimiento pone en peligro la consecución del propósito del Programa. En este caso, sin embargo, nuestra responsabilidad se limitará a la indemnización por los daños previsibles que suelen ocurrir.

En estos casos, seremos responsables de cualquier grado de culpa.

(3) Además, la limitación de responsabilidad del apartado 1 no se aplicará si un defecto se ocultó de forma fraudulenta.

(4) En la medida en que se excluya la responsabilidad por daños y perjuicios contra nosotros, esto se aplica también con respecto a la responsabilidad personal por daños y perjuicios de nuestros empleados, representantes y agentes indirectos.

11. Varios

(1) Si alguna de las disposiciones de los Términos fuera o llegara a ser nula, la validez de las restantes disposiciones no se verá afectada. En lugar de la disposición nula, se considerará acordada una disposición que se aproxime lo más posible a la finalidad económica de la disposición nula.

(2) Los Términos se regirán e interpretarán de acuerdo con las leyes de la República Federal de Alemania. Las disposiciones legales que restringen la elección de la ley y la aplicabilidad de las disposiciones obligatorias, en particular las del país en el que el Participante, como consumidor, tiene su residencia habitual, no se verán afectadas.

(3) Si el Participante es un comercio, una persona jurídica de derecho público o un fondo especial de derecho público, el fuero para todos los litigios derivados de los Términos es Fráncfort del Meno, Alemania.

ID de la comunicación: KEN-PSA-2026-WP01
Gravedad: Alta
Estado: Resuelto en KeeneticOS 5.0.4 y versiones posteriores

Resumen

Se ha identificado un problema de seguridad en KeeneticOS que permite a un usuario con acceso de solo lectura extraer información interna del sistema y aprovecharla para escalar privilegios al nivel de administrador. Este problema requiere un acceso autenticado previo como usuario de solo lectura, pero se puede usar de forma remota.

Productos/Configuraciones afectados

Productos: routers de Keenetic con versiones de KeeneticOS anteriores a la 5.0.4.

Prerrequisito de configuración: el atacante ya debe poseer credenciales válidas de solo lectura en la interfaz de gestión del dispositivo.

Detalles de la vulnerabilidad

La vulnerabilidad se origina por un aislamiento insuficiente de los datos de configuración sensibles, accesibles desde cuentas de solo lectura. Un usuario autenticado con privilegios de solo lectura puede recuperar parámetros internos específicos del dispositivo. Cuando se combinan, estos parámetros permiten al atacante escalar sus privilegios y obtener acceso de administrador a la interfaz de gestión del router.

Gravedad (CVSS v3.1 — estimación del analista)

8,8 (Alta) — AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Justificación: el ataque solo requiere un acceso autenticado de bajo privilegio, se puede usar de forma remota y resulta en un compromiso total de la confidencialidad, integridad y disponibilidad.

Solución y fortalecimiento

Actualización: transfiera todos los dispositivos que usan versiones anteriores a la 5.0 a KeeneticOS 5.0.4 o una versión posterior. Utilice el sistema operativo más reciente disponible para su modelo.

Mitigación provisional: evite crear o asignar cuentas de usuario de solo lectura hasta que se aplique la actualización.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de aviso: KEN-PSA-2025-WP01
Gravedad: Alta
CWE: CWE-521 (Requisitos de contraseña débil)
Estado: Resuelto en KeeneticOS 4.3 y versiones posteriores

Resumen

Antes de KeeneticOS 4.3, los usuarios podían establecer contraseñas de administrador débiles y aun así abrir la interfaz web del router a Internet, lo que suponía un alto riesgo de vulneración. Investigaciones internas recientes han revelado que esta vulnerabilidad está siendo explotada por escáneres de contraseñas automatizados en dispositivos con las contraseñas débiles más comunes. La última versión de KeeneticOS 4.3 exige contraseñas más seguras y bloquea el acceso web público si se establece una contraseña comprometida conocida.

Hemos identificado que un número significativo de usuarios sigue utilizando contraseñas débiles o fáciles de adivinar. Esto crea riesgos de seguridad sustanciales, como el acceso no autorizado, las violaciones de datos y las posibles interrupciones del servicio. Proteger los datos del usuario es nuestra máxima prioridad, y abordar estas vulnerabilidades es esencial.

Para reforzar la seguridad general y garantizar la protección continua de los datos de los usuarios, se implementará una actualización de software obligatoria para los dispositivos que ejecuten versiones de KeeneticOS anteriores a la 4.3, de conformidad con el artículo 6 del Contrato de licencia del usuario final y en consonancia con la Ley de Ciberresiliencia de la UE (CRA). Esta actualización incluye medidas de seguridad mejoradas, herramientas para la creación de contraseñas más seguras y correcciones de errores críticos que mejoran la estabilidad del sistema y protegen las cuentas de los usuarios.

Lamentamos sinceramente cualquier inconveniente que esta actualización pueda ocasionar. Para minimizar las interrupciones, procuramos implementarla fuera del horario laboral estándar. Si tiene alguna pregunta o necesita ayuda, póngase en contacto con nuestro equipo de soporte.

Productos/Configuraciones afectados

Productos: Routers de Keenetic que ejecutan versiones de KeeneticOS anteriores a la 4.3.

Requisito de configuración: La interfaz web del router debe estar expuesta a Internet y el acceso web remoto debe estar habilitado.

Detalles de la vulnerabilidad

Problema: Se aceptan contraseñas administrativas débiles mientras se puede acceder a la interfaz web desde Internet.

Impacto: Toma de control administrativo total del dispositivo, lo que permite cambios en la configuración, intercepción/redirección del tráfico, habilitación de servicios adicionales y una posible penetración adicional en la red interna.

Vector: Remoto (Internet); no se requiere autenticación previa ni interacción del usuario.

Factores contribuyentes: Exposición de la interfaz de administrador a Internet y credenciales débiles y fáciles de adivinar.

Gravedad (CVSS v3.1 — estimación del analista)

8.8 (Alta) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
Justificación: Ruta remota no autenticada para el control de administrador cuando se permiten contraseñas débiles; el impacto en la disponibilidad es secundario a la confidencialidad/integridad.

Solución y fortalecimiento

Controles de la plataforma: El dispositivo comprueba automáticamente si la contraseña administrativa está en la lista de las contraseñas débiles más utilizadas. En este caso, bloquea el acceso remoto a la interfaz web y la ejecución de software personalizado, y la contraseña solo se puede cambiar desde la red de área local. Al introducir una nueva contraseña, el dispositivo impone la seguridad de la contraseña de acuerdo con las recomendaciones de NIST SP 800-63B.

Actualización: Actualice todos los dispositivos que ejecutan versiones anteriores a la 4.3 a KeeneticOS 4.3 o posterior. Utilice el último sistema operativo disponible para su modelo.

Credenciales de administrador: Utilice contraseñas largas y únicas. Recomendamos al menos 15 caracteres o una frase de contraseña generada.

Limitar la exposición: Si el acceso web remoto no es estrictamente necesario, deshabilítelo. Utilice reglas de cortafuegos para permitir el acceso a la interfaz web del dispositivo solo desde direcciones IP específicas.

Supervisar ataques: Esté atento a los inicios de sesión fallidos o bloqueos repetidos, ya que podrían ser una indicación de un ataque de fuerza bruta.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de aviso: KEN-PSA-2025-WA01
Gravedad: Media
CVE: CVE-2025-56007, CVE-2025-56008, CVE-2025-56009
Estado: Resuelto en KeeneticOS 4.3 y versiones posteriores

Keenetic ha recibido y verificado informes de tres vulnerabilidades de seguridad graves que afectan a todas las versiones de KeeneticOS anteriores a la 4.3. Un investigador de seguridad independiente reveló responsablemente estas vulnerabilidades, que desde entonces han sido corregidas en la última versión estable.

Las vulnerabilidades se identifican como CVE-2025-56007, CVE-2025-56008, CVE-2025-56009.

CVE-2025-56007 — Inyección CRLF en el punto final de la API /auth:
Una vulnerabilidad de inyección CRLF en el punto final de la API /auth podría permitir a atacantes remotos manipular las cabeceras HTTP e inyectar comandos no autorizados. Los atacantes podrían añadir nuevos usuarios administrativos y hacerse con el control del dispositivo engañando a una víctima para que abra una página especialmente diseñada.

CVE-2025-56008 — Cross-Site Scripting (XSS) en la página «Wireless ISP»:
Los atacantes podrían explotar una vulnerabilidad XSS en la página de configuración de «Wireless ISP» transmitiendo un SSID especialmente diseñado que contenga un script malicioso. Cuando el usuario busca redes disponibles utilizando la interfaz web, el script se ejecuta en el contexto de la sesión del administrador, lo que permite al atacante hacerse con el control del dispositivo.

CVE-2025-56009 — Cross-Site Request Forgery (CSRF) en el punto final de la API /rci:
Una vulnerabilidad CSRF en el punto final de la API /rci podría permitir a los atacantes realizar acciones no autorizadas en nombre de un usuario autenticado. Atrayendo a la víctima para que visite una página maliciosa, los atacantes podrían añadir silenciosamente usuarios con todos los permisos y comprometer el dispositivo.

Dispositivos potencialmente afectados:
Todos los modelos de Keenetic con el índice «KN», lanzados a partir de 2017.

Gravedad:
La gravedad se considera media, ya que el usuario debe haber iniciado sesión en la interfaz web del router durante el ataque. Un ataque a la página «Wireless ISP» también requiere que el atacante esté cerca del dispositivo.

Versiones de firmware afectadas:
Todas las versiones de KeeneticOS hasta la 4.2.

Solución:
Se recomienda encarecidamente a todos los usuarios que actualicen sus dispositivos de Keenetic a la última versión estable del firmware, KeeneticOS 4.3, que incluye parches para estas vulnerabilidades. Las actualizaciones del firmware se pueden realizar a través de la interfaz web del dispositivo o de la aplicación móvil de Keenetic.

Agradecimientos:
Agradecemos al investigador independiente su revelación responsable y su contribución a la mejora de la seguridad de los productos Keenetic.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de aviso: KEN-PSA-2025-WD01
Gravedad: Media
CVE: CVE-2025-20674, CVE-2025-20685, CVE-2025-20686
Estado: Resuelto en KeeneticOS 4.3.2 y versiones posteriores

Keenetic está al tanto de una vulnerabilidad de «inyección arbitraria de paquetes» en el controlador del AP wifi, notificada por el fabricante del chipset, Mediatek, Inc. Existe una forma posible de inyectar un paquete arbitrario debido a la falta de una comprobación de permisos. Esto podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para su explotación.

El fabricante del chipset también informó de vulnerabilidades adicionales, como una posible escritura fuera de los límites debido a una comprobación incorrecta de los mismos. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.

Las vulnerabilidades se identifican como CVE-2025-20674, CVE-2025-20685, CVE-2025-20686.

Dispositivos potencialmente afectados:
Todos los modelos Keenetic con el índice «KN», lanzados a partir de 2017, se basan en chipsets wifi producidos por Mediatek: MT7628, MT7603, MT7612, MT7613, MT7915, MT7916.

Versiones de firmware afectadas:
Todas las versiones de KeeneticOS hasta la 4.3.1 inclusive

Gravedad:
La gravedad se considera media, ya que el atacante debe estar muy cerca físicamente del dispositivo objetivo.

Solución:
KeeneticOS 4.3.2 incluye las correcciones necesarias para solucionar estas vulnerabilidades. Esta actualización se aplica a todos los modelos de Keenetic afectados. Recomendamos encarecidamente a los usuarios que actualicen sus dispositivos a la última versión de KeeneticOS disponible en línea. Keenetic ya ha comenzado a desplegar actualizaciones automáticas en los dispositivos que tienen activada la opción de actualización automática.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de aviso: KEN-PSA-2025-CS01
Gravedad: Media
Estado: Resuelto

A la luz de la información recién descubierta, Keenetic Limited informa a los usuarios de la Aplicación móvil de Keenetic que se registraron antes del 16 de marzo de 2023, de que parte de los datos de su aplicación móvil pueden haber sido comprometidos debido a un acceso no autorizado a la base de datos.

En la mañana del 15 de marzo de 2023, un investigador de seguridad informática independiente nos informó sobre la posibilidad de un acceso no autorizado a la base de datos de la Aplicación móvil de Keenetic. Tras verificar la naturaleza y la credibilidad del riesgo, resolvimos inmediatamente el problema en la tarde del 15 de marzo de 2023. El investigador de seguridad informática nos aseguró que no había compartido ningún dato con nadie y que lo había destruido. Desde entonces, no hemos tenido indicios de que la base de datos estuviera comprometida o de que algún usuario se viera afectado hasta finales de febrero de 2025.

El 28 de febrero de 2025, supimos que parte de la información de la base de datos había sido revelada a un medio de comunicación independiente. Por lo tanto, hemos determinado que ya no podemos garantizar que los datos fueran destruidos correctamente, y que parte de la información puede estar ahora fuera de nuestro control.

Sin embargo, debido a la naturaleza de los datos que podrían estar potencialmente expuestos, estimamos que el riesgo de actividad fraudulenta es bajo.

Un número limitado de campos de la base de datos eran accesibles: ID de Keycloak, correos electrónicos (inicios de sesión) y nombres de cuentas Keenetic, configuraciones regionales; configuraciones de cuentas de usuario del dispositivo, incluyendo hashes de contraseñas MD5 y NT; nombres KeenDNS personalizados; configuraciones de la interfaz de red, incluyendo SSIDs de wifi y claves precompartidas; configuración del canal wifi, ID y claves de roaming; políticas de IP y configuración de la modelación del tráfico; direcciones de pares remotos, inicios de sesión y contraseñas de clientes VPN, direcciones IP asignadas; nombres y direcciones MAC de los hosts registrados; configuraciones IPsec de sitio a sitio; configuraciones del servidor IP virtual de IPsec; configuración del grupo de DHCP; configuración de NTP; listas de acceso de IP y MAC.

Según nuestro conocimiento, ningún otro dato ha sido accesible. En particular, los datos de RMM, los datos de la cuenta Keenetic, las claves privadas y las configuraciones de los túneles VPN de Wireguard, y los datos de OpenVPN eran inaccesibles.

Keenetic no recopila, almacena ni analiza datos sobre detalles de tarjetas de pago o credenciales relacionadas, datos de transacciones, detalles bancarios o contraseñas bancarias. Por lo tanto, dichos datos no se ven afectados.

Recomendamos a estos usuarios de la aplicación móvil de Keenetic que cambien las siguientes contraseñas y claves previamente compartidas:

- Contraseñas de la cuenta de usuario del dispositivo de Keenetic (enlace a las instrucciones);

- Contraseñas de wifi (enlace a las instrucciones);

- Contraseñas/claves precompartidas del cliente VPN para: PPTP/L2TP (enlace a las instrucciones), L2TP/IPSec (enlace a las instrucciones), IPSec de sitio a sitio (enlace a las instrucciones), SSTP (enlace a las instrucciones).

Creemos firmemente que el acceso no autorizado se produjo sin ninguna intención fraudulenta o maliciosa, y que la información de la base de datos no está a disposición del público, no obstante, se envió la notificación correspondiente a la autoridad de protección de datos pertinente.

Pedimos disculpas por cualquier inconveniente y confirmamos que se han tomado todas las medidas necesarias para evitar una situación similar en el futuro.

Establecemos la seguridad como nuestra máxima prioridad para ofrecer un entorno protegido y controlable que salvaguarde las redes y los datos de nuestros usuarios. Trabajamos constantemente para mejorar nuestro sistema operativo, aplicaciones e infraestructura en la nube. Con actualizaciones periódicas, mejoramos continuamente el rendimiento y la seguridad para garantizar que nuestro software se mantenga actualizado.

Si tiene alguna pregunta, no dude en ponerse en contacto con el equipo de soporte técnico pertinente.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de aviso: KEN-PSA-2024-ED01
CVE: CVE-2024-4021, CVE-2024-4022
Gravedad: Baja
Estado: Resuelto en KeeneticOS 4.3 y versiones posteriores

Keenetic fue notificado con antelación y es plenamente consciente de las vulnerabilidades CVE-2024-4021 y CVE-2024-4022.

Dispositivos potencialmente afectados:
- KN-1010
- KN-1410
- KN-1711
- KN-1810
- KN-1910

Versiones de firmware afectadas:
Todas las versiones de KeeneticOS hasta la 4.1.2.15 inclusive.

Aclaración de las vulnerabilidades notificadas:
1. CVE-2024-4022 se refiere a una divulgación notificada de información destinada a ser de dominio público. Mostrar el nombre del modelo y la versión del firmware en la interfaz web se hace por diseño y no se considera una vulnerabilidad. El nombre del modelo se muestra explícitamente en la interfaz de usuario, y la versión del firmware puede aproximarse fácilmente debido a las frecuentes actualizaciones, que cambian visiblemente la interfaz.
2. CVE-2024-4021 no permite el acceso remoto, el control ni la filtración de información privada del usuario. En su lugar, permite a un atacante identificar qué componentes de software (por ejemplo, WPA3-E, WireGuard, OpenVPN) están instalados en el router. Es importante destacar que esta vulnerabilidad no indica si estos componentes están activos o habilitados. Tampoco revela si se está proporcionando un servicio específico externamente (por ejemplo, WireGuard podría estar disponible a través del reenvío de puertos en lugar de estar instalado en el propio router). Tras consultar a un investigador de seguridad independiente, Keenetic clasificó esta vulnerabilidad como de divulgación de información de bajo riesgo. Esto significa que no compromete directamente el dispositivo ni la información del usuario.

Gravedad:
La gravedad de la divulgación de información excesiva sobre el dispositivo y el sistema operativo se considera baja.

Solución:
Debido a la naturaleza de bajo riesgo de estas vulnerabilidades, Keenetic abordará estos problemas en la próxima actualización de KeeneticOS. Se incluirá una corrección en la versión 4.3 de KeeneticOS, cuyo lanzamiento está previsto para mediados de 2025. No se requiere una actualización urgente.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.

ID de aviso: KEN-PSA-2021-WD01
Gravedad: Media
CVE: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147
Estado: Resuelto en KeeneticOS 3.6.6 y versiones posteriores

Keenetic está al tanto de las vulnerabilidades de seguridad de wifi conocidas como FragAttacks (ataques de fragmentación y agregación). Puede encontrar información detallada en https://www.fragattacks.com.

Se han identificado las siguientes vulnerabilidades:
- CVE-2020-24586
- CVE-2020-24587
- CVE-2020-24588
- CVE-2020-26139
- CVE-2020-26140
- CVE-2020-26146
- CVE-2020-26147

Dispositivos potencialmente afectados:
Todos los modelos de Keenetic con el índice «KN», lanzados a partir de 2017.

Versiones de firmware afectadas:
Todas las versiones de KeeneticOS hasta la 3.6.5 inclusive.

Gravedad:
La gravedad de FragAttacks se considera media, con un amplio impacto en casi todos los dispositivos wifi desde 1997. Las vulnerabilidades pueden conducir potencialmente a la divulgación de información y a la escalada de privilegios. Sin embargo, su explotación no es sencilla y requiere que el atacante se encuentre muy cerca físicamente del dispositivo objetivo.

Solución:
La versión 3.6.6 de KeeneticOS incluye las correcciones necesarias para solucionar estas vulnerabilidades de wifi. Esta actualización se aplica a todos los modelos de Keenetic afectados. Recomendamos encarecidamente a los usuarios que actualicen sus dispositivos a la última versión de KeeneticOS disponible en línea. Keenetic ya ha comenzado a desplegar actualizaciones automáticas en los dispositivos que tienen activada la opción de actualización automática.

Note: Keenetic provides this translation of the original English language document as a convenience to users. Please refer to English language document as a legally binding.