Notificar a los usuarios las vulnerabilidades activamente explotadas sin demora injustificada
- Se aplica a
- Manufacturer
- Citas de fuentes
- Art. 14(4)
- Clases de productos
- DefaultImportant — Class IImportant — Class IICritical
Lenguaje claro
Si se está utilizando un error del producto para atacar a los usuarios, debe informárseles de inmediato. No debe esperarse a disponer de la corrección. Debe explicarse cuál es el riesgo y qué pueden hacer para estar seguros en ese momento. Deben utilizarse los canales habituales de actualización o alerta, pero actuando con rapidez.
Texto jurídico
El artículo 14(4) del Reglamento (UE) 2024/2847 exige que los fabricantes notifiquen a los usuarios de los productos con elementos digitales afectados por una vulnerabilidad activamente explotada, sin demora injustificada, con información suficiente para que dichos usuarios puedan adoptar medidas de protección.
Esta obligación de notificación corre de forma paralela a las obligaciones de notificación a ENISA (OBL-ART14-01, OBL-ART14-02, OBL-ART14-03): la notificación a ENISA no sustituye a la notificación a los usuarios.
Fecha de aplicación
Esta obligación se aplica a partir del 11 de septiembre de 2026.
Contenido requerido de la notificación a usuarios
La notificación a los usuarios debe incluir:
- Producto y versiones afectadas: exactamente qué productos y versiones de firmware o software están afectados
- Naturaleza de la vulnerabilidad: descripción en lenguaje llano del riesgo
- Confirmación de la explotación: declaración de que se ha observado explotación activa
- Medidas de mitigación disponibles: pasos que los usuarios pueden adoptar de inmediato (soluciones alternativas, cambios de configuración, aislamiento de red) mientras se prepara la corrección completa
- Disponibilidad de la actualización: si hay un parche disponible y cómo obtenerlo; si aún no está disponible, un calendario estimado
- Orientación de urgencia: prioridad recomendada para aplicar la actualización
Canales de notificación
Deben utilizarse canales que puedan llegar a los usuarios que no comprueban proactivamente si hay actualizaciones:
- Alerta de seguridad integrada en el producto (notificación push o banner)
- Correo electrónico a los usuarios registrados
- Aviso destacado en el sitio web del producto o de soporte
- Notas de actualización en la tienda de aplicaciones o la plataforma
La elección del canal debe ser proporcional a la gravedad y la explotabilidad.
Documentación que puede necesitar
- Registros de notificación a los usuarios: marca de tiempo, contenido, canales utilizados
- Confirmación de entrega (acuses de recibo de correo electrónico, analíticas de notificaciones)
- Aviso de seguridad publicado con orientaciones de remediación para los usuarios
- Registros que acrediten que la notificación fue anterior o simultánea a la publicación del parche