Guía Completa para la Elaboración de un Informe de Vulnerabilidad

By /

Si te han pedido un informe o certificado de vulnerabilidad y no sabes por dónde empezar, tranquilo: no eres el único. El concepto de vulnerabilidad puede abarcar diferentes ámbitos, desde la situación socioeconómica de una familia hasta las debilidades en los sistemas de seguridad física o digital. Este tipo de informes son herramientas decisivas que poseen efectos jurídicos o técnicos reales, permitiendo desde acceder a ayudas públicas o frenar un desahucio, hasta prevenir delitos mediante la detección y corrección de fallas en sistemas de protección.

Infografía: Diversos tipos de informes de vulnerabilidad

El Certificado de Vulnerabilidad Socioeconómica

Miles de familias necesitan acreditar cada mes su situación económica o social ante un juzgado, el casero, Extranjería o una administración pública. En esta guía te explicamos en qué consiste exactamente el certificado de vulnerabilidad socioeconómica, quién puede pedirlo, qué requisitos se evalúan, cómo se tramita paso a paso y qué diferencias hay respecto al certificado de exclusión social o el informe para desahucios.

¿Qué es y para qué sirve el Certificado de Vulnerabilidad Socioeconómica?

El certificado de vulnerabilidad socioeconómica acredita que una unidad familiar se encuentra en una situación de dificultad económica o social que justifica una protección específica. Dependiendo del organismo que te lo pida, el certificado tendrá una finalidad concreta.

  • Acceso a ayudas y protecciones: Este informe permite acceder a ayudas públicas, frenar un procedimiento de desahucio, suspender cortes de suministros básicos o acogerse al bono social eléctrico. Es uno de los usos estrella, ya que la normativa estatal prevé la suspensión de lanzamientos para hogares en riesgo, y para activar esta protección se necesita un informe de los servicios sociales que acredite la vulnerabilidad de la unidad familiar.
  • Trámites de extranjería: Determinados procedimientos de arraigo social o humanitario exigen acreditar vulnerabilidad para su concesión. Si estás preparando un expediente de arraigo o una renovación compleja, el informe municipal es una pieza clave. La Oficina de Extranjería valora la acreditación de vulnerabilidad como refuerzo de la solicitud, aunque no sustituye a los requisitos principales de cada procedimiento.
  • Problemas con el alquiler: Puede ser fundamental para la renegociación de condiciones de alquiler o acceso a programas de ayuda habitacional.
  • Para la unidad familiar: El informe valora el conjunto del hogar, no solo al solicitante. Por eso conviene aportar la documentación de todos los convivientes, incluso los que no tengan ingresos.

Requisitos y Criterios de Evaluación

No existe un umbral único y rígido para la determinación de la vulnerabilidad socioeconómica: cada ayuntamiento aplica su baremo, normalmente en línea con la normativa estatal de vivienda y los criterios del Ministerio de Derechos Sociales.

  • Ingresos del hogar: Los ingresos totales del hogar no deben superar un determinado múltiplo del Indicador Público de Renta de Efectos Múltiples (IPREM).
  • Carga económica: La suma del pago de la hipoteca o el alquiler más los gastos y suministros básicos debe ser igual o superior al 35 % de los ingresos netos de la unidad familiar.
  • Factores cualitativos: Además de los umbrales numéricos, la trabajadora social valorará factores como la situación laboral, las cargas familiares, el estado de salud, la red de apoyo, el empadronamiento y la antigüedad en el municipio.
Diagrama de flujo: Criterios de evaluación de vulnerabilidad socioeconómica

Proceso de Tramitación Paso a Paso

El proceso es muy similar en todo el territorio, aunque los plazos y la vía de cita cambian según el ayuntamiento.

Paso 1: Solicitud de Cita Previa

La solicitud siempre se gestiona a través del centro municipal de servicios sociales del municipio donde estés empadronado. Puedes pedir la cita previa por teléfono, en la sede electrónica del ayuntamiento o presencialmente.

Paso 2: Presentación de Documentación y Entrevista

Una vez acuda a la cita, la persona interesada en obtener el certificado debe presentar la siguiente documentación: fotocopia u original del DNI / NIE, libro de familia, padrón municipal, certificado de ingresos de hacienda, demanda de empleo y cualquier otra documentación que solicite el trabajador social para la valoración de su situación. Se llevará a cabo una conversación de unos 30 o 40 minutos donde se recoge tu historia y se contrasta con la documentación.

Paso 3: Valoración y Emisión del Certificado

Tras la valoración, el ayuntamiento emite el certificado. Los plazos de emisión suelen oscilar entre una semana y un mes, dependiendo de la carga de trabajo del equipo de servicios sociales.

Paso 4: Presentación ante el Organismo Solicitante

Una vez en tu poder, preséntalo ante el organismo que te lo pidió. Muchos ayuntamientos publican en su web plantillas orientativas, ya que no existe un único modelo oficial estatal: cada ayuntamiento tiene el suyo.

Infografía: Proceso de solicitud de certificado de vulnerabilidad social

Certificado de Vulnerabilidad vs. Certificado de Exclusión Social

Es importante no confundir el certificado de vulnerabilidad con el certificado de exclusión social, ya que tienen alcances y requisitos distintos.

  • El certificado de vulnerabilidad es más amplio y temporal: cubre dificultades económicas o habitacionales puntuales, como perder un empleo, afrontar un desahucio o no poder pagar el alquiler.
  • El certificado de exclusión social acredita una situación más grave y estructural de pobreza o marginación. Suele exigir un itinerario previo con servicios sociales o entidades como Cáritas, y se apoya en estudios como el informe FOESSA de Cáritas o en los criterios AROPE del Instituto Nacional de Estadística. Se usa, por ejemplo, para acceder a programas específicos de inserción o a determinadas bonificaciones fiscales.

Según se desprende del último informe de la Red Europea de Lucha Contra la Pobreza y la Exclusión (EAPN) y el indicador AROPE, casi 3 de cada 10 españoles (28,6%) se encuentran en riesgo de pobreza y exclusión social. Para poder solicitar el certificado de riesgo por exclusión social es importante cumplir con unas condiciones mínimas. Este certificado analiza la situación económica, familiar y social de las personas que se identifican con algunas de las situaciones nombradas anteriormente. Desde un punto de vista administrativo, el informe y/o acreditación de personas en riesgo de exclusión social tiene como objetivo apoyar a personas que se encuentran en esta situación. No hay un procedimiento nacional o autonómico único para expedir el informe de persona en riesgo de exclusión social; los criterios pueden variar dependiendo de donde se haga la solicitud. Una vez la persona ha obtenido el certificado de exclusión social, debe saber que este tiene una validez de tres meses.

Preguntas Frecuentes sobre el Certificado de Vulnerabilidad Socioeconómica

  • ¿Cuánto tarda en emitirse el certificado de vulnerabilidad? Entre una y cuatro semanas desde la cita, según el ayuntamiento y la carga de trabajo del equipo de servicios sociales.
  • ¿Es gratuito el certificado de vulnerabilidad? Sí.
  • ¿Cuánto tiempo es válido el certificado de vulnerabilidad? Depende de cada municipio y del uso que se le dé. En general, entre tres y seis meses.
  • ¿Dónde se solicita el certificado de vulnerabilidad si no tengo empadronamiento? Debes empadronarte primero.
  • ¿Sirve el mismo certificado para desahucio y para Extranjería? En la práctica cada organismo suele pedir un informe específico con la finalidad concreta indicada.
  • ¿Puedo recurrir si me deniegan el certificado de vulnerabilidad? Sí.
  • ¿Lo puede pedir una persona sin papeles el certificado de vulnerabilidad? Sí, siempre que esté empadronada.
  • Error a evitar: Presentar un certificado caducado ante el juzgado o Extranjería puede invalidar el trámite.

El Informe de Vulnerabilidad Técnica y de Seguridad

Más allá de la esfera social, la vulnerabilidad también se refiere a debilidades en sistemas y propiedades que pueden ser explotadas, ya sea por intrusos o por ataques cibernéticos. Conocer estas vulnerabilidades es el primer paso para proteger activos y prevenir incidentes.

¿Qué es una Vulnerabilidad en el contexto de la Seguridad?

Una vulnerabilidad es una debilidad o un error de diseño o implementación que puede desembocar en un evento que comprometa la seguridad de un dispositivo, sistema operativo, red, programa o de un protocolo envuelto en cualquiera de los anteriores. La búsqueda y explotación de vulnerabilidades es una estrategia destinada a comprometer la información y la seguridad de los sistemas afectados, usándose a menudo en la comisión de delitos económicos, robos de información o credenciales, aunque también pueden estar relacionadas con ataques a infraestructuras estratégicas. Por ello, es crucial articular vías para la notificación y parcheado de vulnerabilidades.

No debe confundirse el alcance de la definición de una vulnerabilidad con el de un incidente, como un evento que se ha evaluado como un efecto real, o potencialmente adverso, en la seguridad o en el rendimiento de un sistema.

En INCIBE-CERT, disponen de una taxonomía para la clasificación de los incidentes de seguridad, donde se recogen diferentes tipos de incidentes relacionados con vulnerabilidades identificadas o conocidas. Algunos de estos casos de incidentes provocados por vulnerabilidades serían:

  • Intento de intrusión:
    • Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (buffer overflow, XSS, backdoor…).
    • Múltiples intentos de acceso con vulneración de credenciales (brute force, password cracking…).
    • Ataque desconocido empleando exploit.
  • Intrusión:
    • Compromiso de aplicaciones: se realiza mediante la explotación de vulnerabilidades de software.
  • Disponibilidad:
    • DoS/DDoS mediante envíos de peticiones masivas (flooding) a una aplicación web o servicio para ralentizar su funcionamiento o, directamente, interrumpir su servicio.
  • Vulnerable:
    • Servicios accesibles públicamente que pueden presentar criptografía débil (servidores web susceptibles de ataques POODLE/FREAK, Heartbleed, FREAK…).
    • Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS, por ejemplo aprovechando la funcionalidad de los solucionadores de DNS abiertos para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico.
    • Sistema vulnerable por diversas causas (mala configuración de proxy en un cliente en Web Proxy Autodiscovery Protocol, sistema desactualizado, falta de antivirus y/o firewall…).
Ilustración: Tipos de vulnerabilidades en ciberseguridad

Informe de Vulnerabilidad Física: Protección de Propiedades

En un entorno donde la seguridad es una preocupación creciente, conocer los puntos débiles de una propiedad no es un lujo, es una necesidad. Los informes de vulnerabilidad física están enfocados en detectar y corregir falencias en sistemas de protección.

A modo de ejemplo, la empresa Sargus desarrolla informes de vulnerabilidad sin costo, con el objetivo de que cada cliente tenga una visión clara y objetiva de su nivel de protección antes de contratar o reforzar sus servicios de seguridad.

¿Qué incluye un informe de vulnerabilidad física?

  • Revisión completa del perímetro: detección de accesos sin control, zonas expuestas, puntos ciegos y áreas vulnerables.
  • Evaluación de sistemas de acceso: puertas, portones automáticos, citofonia, chapas electrónicas o biométricas.
  • Análisis del estado de ventanas y protecciones físicas: rejas, film anti-intrusión, estructuras metálicas.
  • Inspección de cercos eléctricos o sistemas disuasivos: funcionamiento, mantenimiento y cobertura real.
  • Observación en jornada diurna y nocturna para detectar vulnerabilidades según el comportamiento del entorno.
  • Emisión de un informe actualizado semestralmente, para mantener la protección alineada con cambios físicos o nuevas amenazas.

En este tipo de informe, además de evaluar las condiciones generales de seguridad, se realiza un recorrido completo por toda la instalación con el fin de identificar y definir los puntos de marcación para los guardias. Estos puntos, que luego se transforman en checkpoints dentro del sistema de rondas, permiten al cliente visualizar en tiempo real cómo se están llevando a cabo los recorridos y asegurar que se cumplan los protocolos establecidos.

Esquema: Puntos vulnerables en la seguridad perimetral de una propiedad

Beneficios de los Informes de Vulnerabilidad Física

Realizar este tipo de evaluaciones ofrece múltiples ventajas:

  • Reduce la asimetría de información entre el cliente y el proveedor.
  • Mejora la planificación de seguridad, con datos técnicos reales.
  • Evita soluciones genéricas que no consideran las particularidades del lugar.
  • Fomenta una relación basada en evidencia, no en promesas.
  • La revisión la realiza equipo técnico especializado, no personal comercial, garantizando una evaluación objetiva y enfocada 100 % en seguridad.

Cifras de Alerta (Ejemplo de Contexto Regional)

Las estadísticas nacionales suelen subrayar la necesidad de estos informes. Por ejemplo, en Chile en 2024, el robo con fuerza y el robo en lugar no habitado siguen entre los delitos más denunciados. Muchas intrusiones se dan por accesos no reforzados o protecciones obsoletas, mientras que las empresas y hogares con sistemas de control y vigilancia disuasiva reducen en más de 50 % su probabilidad de ser víctimas.

Gestión Coordinada de Vulnerabilidades (CVE y INCIBE-CERT)

El Instituto Nacional de Ciberseguridad de España (INCIBE-CERT) cuenta con una política de CVD (Coordinated Vulnerability Disclosure) establecida que da soporte a aquellos que quieran proporcionar información sobre vulnerabilidades detectadas, tanto en sistemas propios como en sistemas de terceros, ciudadanos y entidades de derecho privado en España.

INCIBE-CERT proporciona soporte a quienes deseen aportar información sobre vulnerabilidades que hayan detectado, actuando como autoridad CNA (CVE Numbering Authority) española bajo el programa CVE para las prácticas de gestión y descubrimiento de vulnerabilidades. INCIBE adopta el rol de Root, coordinando los posibles CNA bajo su ámbito y asignando identificadores CVE. Es importante resaltar que no es objeto de esta política CNA la notificación de vulnerabilidades observadas sobre activos que ya tienen un CVE asignado y publicado; en esos supuestos, debe dirigirse a la sección de reporte de incidentes de INCIBE-CERT.

INCIBE-CERT e INCIBE coordinan la documentación, divulgación y descubrimiento de nuevas vulnerabilidades. INCIBE, como actor CNA, tiene la potestad para asignar vulnerabilidades relacionadas con su función de coordinación en Sistemas de Control Industrial (SCI), Tecnologías de la Información (TI) e Internet de las Cosas (IoT) a nivel nacional, así como vulnerabilidades reportadas por organizaciones e investigadores españoles que no estén en el ámbito de otro CNA, todo ello bajo el estándar CVE.

Infografía: Ciclo de gestión de vulnerabilidades CVE

Acciones No Permitidas en la Búsqueda de Vulnerabilidades

Es muy importante tener en cuenta el respeto a la ley, ya que notificar una vulnerabilidad no implica estar exento de su cumplimiento. Igualmente, buscar vulnerabilidades no puede servir como pretexto para atacar un sistema o cualquier otro objetivo. Varias acciones no están permitidas, por ejemplo:

  • Usar ingeniería social.
  • Comprometer el sistema y mantener el acceso a este de manera persistente.
  • Alterar los datos a los que se acceda explotando la vulnerabilidad.
  • Utilizar malware.
  • Utilizar la vulnerabilidad de cualquier forma más allá de demostrar su existencia. Para demostrar que la vulnerabilidad existe, se pueden usar métodos no agresivos, por ejemplo, listando un directorio del sistema.
  • Usar fuerza bruta para ganar acceso a los sistemas.
  • Compartir la vulnerabilidad con terceros.
  • Realizar ataques DoS o DDoS.

En cualquier caso, debe notificarse la vulnerabilidad en cuanto sea detectada y no sacar provecho de ella de forma alguna.

Tratamiento de Vulnerabilidades por INCIBE-CERT

Cuando INCIBE-CERT recibe una notificación de vulnerabilidad, el primer paso es comprobar si se trata de una nueva vulnerabilidad en algún producto o de un incidente de usuario final.

  • En el primer supuesto, cuando se trata de una nueva vulnerabilidad en algún producto, el equipo CNA de INCIBE-CERT gestiona esos 0days o vulnerabilidades no conocidas aún por parte del fabricante del activo afectado, que no tengan asignado aún un identificador CVE. El CNA de INCIBE-CERT coordina la comunicación entre el investigador y el dueño del producto afectado, realiza la divulgación pública de la nueva vulnerabilidad y la documenta como un nuevo CVE.
  • Para la segunda opción, en el caso de un incidente de usuario final, el equipo de gestión de incidentes de INCIBE-CERT sería el encargado de realizar el triage y clasificación del incidente, notificar a los usuarios interesados/afectados y compartir los detalles técnicos y soluciones, todo ello respetando el anonimato del investigador.

Cómo Reportar una Vulnerabilidad a INCIBE-CERT

Nueva Vulnerabilidad (Candidato a CVE)

Para informar de un candidato a posible CVE al equipo CNA de INCIBE-CERT, se debe enviar un correo electrónico al buzón correspondiente, donde se le guiará durante todo el proceso de asignación y publicación del CVE. Es recomendable transmitir la información cifrada con la clave PGP pública asociada a este buzón. Para conocer más en detalle cómo contactar con el equipo CNA de INCIBE-CERT y el proceso de asignación y publicación del CVE, consulte la página oficial de INCIBE-CERT al respecto.

Incidente de Seguridad

En el caso de querer informar de un incidente, se debe enviar un correo electrónico al buzón designado para ello. Es recomendable transmitir la información cifrada con la clave PGP pública del buzón correspondiente de INCIBE-CERT.

Información Necesaria para la Notificación

La siguiente información es necesaria para notificar una vulnerabilidad:

  • Descripción clara y detallada de la vulnerabilidad.
  • Información clara y detallada de cómo se ha llegado a descubrir la vulnerabilidad. El objetivo es poder reproducirla.
Información Adicional de Utilidad

Otra información que puede ser de utilidad a la hora de notificar la vulnerabilidad es:

  • Pruebas de la existencia de la vulnerabilidad (captura de pantalla, enlace, etc.).
  • Timeline o información temporal sobre el momento en el que se descubrió la vulnerabilidad.
  • Cualquier tipo de información que considere necesaria para localizar y resolver la vulnerabilidad de la forma más rápida y eficaz posible.
Proceso de Recepción y Gestión

Una vez recibida la notificación, INCIBE-CERT confirmará su recepción y comenzará la comunicación con el interesado. Para realizar la gestión, INCIBE-CERT cuenta con un equipo que opera de manera continuada en formato 24x7 (24 horas, 7 días a la semana) y dispone de procedimientos suficientes para comunicar las vulnerabilidades a través de correo electrónico o por vía telefónica. Si la vulnerabilidad involucra a un operador de infraestructuras críticas, INCIBE-CERT también dispone de distintos puntos de contacto, en virtud de sus acuerdos firmados con los operadores, para facilitar la comunicación y asegurarse de que la notificación ha sido correctamente recibida.

tags: #como #hacer #un #informe #de #vulnerabilidad

Publicaciones populares:

  • cómo obtener el certificado de aportes
  • Fundación Chilena para la Discapacidad (FCHD)
  • Calendario de pagos de asignaciones y pensiones
  • Finiquito laboral inválido: Conoce tus derechos
  • Problemas de precariedad y agresiones en residencia Los Manitos