Política de Divulgación de Vulnerabilidades | Securø
Secur0
Menú
Contacto
Área hacker
EN

Política de Divulgación de Vulnerabilidades

Introducción

Creemos que la seguridad es una responsabilidad compartida. Valoramos profundamente la colaboración con investigadores de seguridad y fomentamos la divulgación responsable de vulnerabilidades.

Esta política describe cómo puedes investigar, reportar y colaborar con nosotros de forma segura y legal.

Nuestros compromisos

Al trabajar con nosotros conforme a esta política, puedes esperar que:

Confirmación y comunicación

  • Confirmaremos la recepción de tu informe en un máximo de 3 días laborables.
  • Proporcionaremos una estimación del tiempo necesario para investigar y mitigar la vulnerabilidad.
  • Te mantendremos informado regularmente sobre el progreso y cualquier cambio en los plazos.

Esto está alineado con la recomendación de definir tiempos de respuesta y comunicación transparente durante todo el proceso.

Resolución de vulnerabilidades

Nos comprometemos a:

  • Validar, priorizar y corregir las vulnerabilidades con diligencia.
  • Priorizar según impacto, riesgo y complejidad técnica.
  • Mantener una comunicación abierta y constructiva durante la remediación.

Las vulnerabilidades permanecerán inicialmente no públicas para permitir su corrección antes de la divulgación.

Divulgación responsable

Una vez resuelta la vulnerabilidad:

  • Podremos acordar conjuntamente la divulgación pública del informe.
  • Si no existe objeción por ninguna de las partes, podrá divulgarse tras un periodo razonable.
  • En casos complejos, la divulgación puede retrasarse para permitir una remediación segura.

Reconocimiento

Reconoceremos públicamente tu contribución si:

  • La vulnerabilidad es válida.
  • Eres la primera persona en reportarla.
  • Deseas recibir reconocimiento público (puedes permanecer anónimo si lo prefieres).

Safe Harbor (Puerto Seguro)

Si sigues esta política:

  • Consideramos tu investigación autorizada y de buena fe.
  • No emprenderemos acciones legales contra ti por la investigación realizada conforme a esta política.
  • Renunciamos de forma limitada a restricciones de nuestros términos legales que puedan interferir con la investigación de seguridad.
  • Si un tercero inicia acciones legales, haremos lo razonable para confirmar que actuaste conforme a esta política.

Esto sigue el principio de Safe Harbor recomendado para proteger a los investigadores.

Lo que esperamos de ti

Al participar en nuestro programa, aceptas actuar de buena fe y:

Principios fundamentales

  • Respetar las normas del programa.
  • Actuar para el bien común.
  • No explotar vulnerabilidades más allá de lo necesario.
  • No acceder, modificar ni destruir datos de usuarios sin autorización.
  • Reportar la vulnerabilidad de forma inmediata.

Estos principios reflejan la filosofía de divulgación responsable de HackerOne.

Buenas prácticas durante las pruebas

Te pedimos que:

  • Evites afectar la disponibilidad de los sistemas.
  • Minimices el acceso a datos sensibles.
  • Interrumpas las pruebas si encuentras datos personales o confidenciales.
  • Utilices únicamente cuentas propias o con permiso explícito.
  • Utilices únicamente canales oficiales para comunicar vulnerabilidades.
  • Actúes con paciencia y colaboración durante el proceso de validación.

Acciones no permitidas

Por defecto no están autorizadas las siguientes actividades:

  • Ataques de denegación de servicio (DoS/DDoS)
  • Ingeniería social o phishing
  • Fuerza bruta o robo de credenciales
  • Instalación de malware
  • Interceptación de comunicaciones privadas
  • Spam o ataques que degraden la experiencia de usuarios
  • Modificación o eliminación de datos del sistema

Estas restricciones siguen las prácticas estándar de conducta en programas de divulgación.

Vulnerabilidades fuera del alcance

Por defecto quedan excluidos:

Vulnerabilidades sin impacto real

  • Problemas teóricos sin explotación demostrable
  • Clickjacking sin acciones sensibles
  • CSRF sin impacto relevante
  • Open redirects sin impacto adicional
  • Divulgación de versiones o mensajes de error
  • Configuraciones de seguridad sin impacto demostrado

Casos de bajo riesgo

  • Self-XSS o self-DoS
  • Ataques que requieran acceso físico
  • Problemas que afecten solo a software obsoleto
  • Falta de buenas prácticas sin impacto directo

Cada programa tiene sus propias vulnerabilidades fuera del alcance, asegúrate de revisarlas antes de participar.

Proceso de reporte

El informe debe incluir:

  • Descripción clara de la vulnerabilidad
  • Pasos reproducibles
  • Prueba de concepto (PoC)
  • Evaluación del impacto

Informes incompletos pueden retrasar el proceso de validación y afectar a tu reputación.

Proceso de divulgación pública

Tras el cierre del informe:

  • El investigador puede solicitar la divulgación.
  • Si ambas partes están de acuerdo, se publicará según el calendario acordado.
  • Si la vulnerabilidad supone riesgo activo, podremos divulgar antes para proteger a los usuarios (previamente poniéndonos en contacto con el equipo de Secur0).
  • Si transcurre un periodo prolongado sin avances, podrá considerarse la divulgación pública responsable (90 días).

Estos casos únicamente aplican al tipo de divulgación seleccionada por la empresa. Puedes acceder a ella en la página de directrices (guidelines) en cada programa.

Legalidad y cumplimiento

La investigación conforme a esta política se considera:

  • Realizada de buena fe
  • Beneficiosa para la seguridad global de Internet
  • Autorizada dentro del marco legal aplicable

Debes cumplir siempre las leyes vigentes.