¿Has encontrado una vulnerabilidad en nuestros sistemas?
Si descubres una vulnerabilidad técnica en nuestros sistemas, existe un proceso para informar de ella. Este proceso se denomina Divulgación Coordinada de Vulnerabilidades (DDC). Sin embargo, si descubres una vulnerabilidad en un sistema o producto que no forma parte de nuestra plataforma, tu paso inicial debe ser informar al propietario de ese sistema o producto concreto. Sólo debes ponerte en contacto con nuestro equipo técnico si la organización responsable no responde adecuadamente para solucionar la vulnerabilidad. En tales casos, intervendremos como intermediarios y trabajaremos para llamar su atención sobre la vulnerabilidad. Para cualquier consulta o comentario no relacionado con la ciberseguridad, no dudes en ponerte en contacto con nosotros a través de nuestra página "Contacto".
Además, si identificas vulnerabilidades que afectan a varios sistemas o proveedores, no dudes en ponerte en contacto con nuestro equipo técnico. En estos casos, podemos ayudarte a coordinar una solución para las vulnerabilidades identificadas. Puedes informar de estas vulnerabilidades utilizando nuestro formulario de contacto, y nos pondremos en contacto contigo para facilitar el proceso de resolución.
¿Qué vulnerabilidades pueden ser objeto de un CVD?
Puedes informarnos de vulnerabilidades si tienen el potencial de comprometer la seguridad del sistema. Por ejemplo, podrían ser vulnerabilidades que permitan eludir formularios de inicio de sesión o conceder acceso no autorizado a bases de datos que contengan información personal.
Es importante tener en cuenta que no todos los defectos del sistema se consideran vulnerabilidades. Normalmente, no es probable que los siguientes defectos den lugar a una violación de la seguridad, por lo que te rogamos que te abstengas de informarnos de tales problemas:
- Defectos que no afectan a la disponibilidad, integridad o confidencialidad de los datos.
- La disponibilidad de la funcionalidad xmlrpc.php de WordPress cuando su abuso se limita a lo que se conoce como ataque de denegación de servicio "pingback".
- La posibilidad de utilizar cross-site scripting en un sitio web estático o en un sitio web que no procese ningún dato sensible (del usuario).
- La disponibilidad de información sobre la versión, por ejemplo a través de un archivo info.php. Una posible excepción en este escenario es cuando la información sobre la versión revela que el sistema utiliza software que contiene vulnerabilidades conocidas.
- La falta de cabeceras de seguridad HTTP, como las utilizadas por mecanismos como el Intercambio de Recursos entre Orígenes (CORS), a menos que esta falta de una cabecera de seguridad resulte demostrablemente en un problema de seguridad.
- Certificados como SSL o nombres de dominio que están a punto de caducar.
Si tienes dudas sobre si el defecto que has encontrado entra en alguna de las excepciones anteriores, puedes informarnos del defecto. Entonces determinaremos si el defecto constituye una vulnerabilidad y tomaremos las medidas de seguimiento adecuadas.
¿Cómo se presentan los CVD?
Sigue estos pasos:
- Rellena el formulario de contacto y dinos lo que has encontrado.
- En tu informe, describe lo más claramente posible cómo se puede reproducir el problema, ya que esto ayudará a acelerar el proceso de resolución. Normalmente bastará con la dirección IP o URL del sistema afectado y una descripción de la vulnerabilidad, pero las vulnerabilidades más complejas pueden requerir información adicional. En tales casos, nos pondremos en contacto contigo.
- Como mínimo, facilítanos una dirección de correo electrónico o un número de teléfono para que podamos ponernos en contacto contigo si tenemos alguna pregunta. Preferimos comunicarnos por correo electrónico.
Asegúrate de que
- Informas de la vulnerabilidad lo antes posible después de descubrirla.
- No informes a nadie más sobre el problema de seguridad hasta que te digamos que se ha resuelto.
- Manejes el conocimiento de la vulnerabilidad de forma responsable, por ejemplo, no emprendiendo ninguna otra acción con la vulnerabilidad que no sea la necesaria para demostrarla.
¿Qué no debes hacer?
Nunca debes llevar a cabo ninguna de las siguientes acciones:
- Introducir malware en el sistema.
- Copiar, editar o borrar datos del sistema.
- Realizar cambios en el sistema.
- Acceder al sistema repetidamente o compartir el acceso al sistema con otras personas.
- Realizar ataques de fuerza bruta para acceder a un sistema.
- Realizar ataques de denegación de servicio o ingeniería social.
Principios de nuestra política de CVD
- Si presentas tu informe de acuerdo con el procedimiento, no habrá consecuencias legales en relación con tu informe. Trataremos tu informe de forma confidencial y no revelaremos tu información personal a terceros sin tu permiso, a menos que así lo exija la ley o una orden judicial.
- Sólo te identificaremos como descubridor de la vulnerabilidad en cuestión si nos das permiso para ello.
- Acusaremos recibo del informe en el plazo de un día laborable y te enviaremos una evaluación del mismo en el plazo de tres días laborables. También te mantendremos informado del progreso en la resolución del problema.
- Nuestro equipo de seguridad se esforzará por resolver el problema de seguridad que nos comuniques en un plazo máximo de 60 días. Una vez resuelto el problema, consultaremos contigo para determinar si publicamos los detalles del problema y su resolución, y cómo lo hacemos.
- Nuestro equipo de seguridad también te ofrecerá una recompensa para agradecerte tu ayuda. Esta recompensa puede ir desde un café a una camiseta, pasando por cheques regalo, dependiendo de la gravedad de la vulnerabilidad y de la calidad del informe. Para poder optar a una recompensa, el informe debe ser sobre una vulnerabilidad grave que nuestro equipo de seguridad no haya visto antes.