Al contenido principal

Divulgación coordinada de vulnerabilidades (CVD)

Consideramos la seguridad de nuestros sistemas y datos una prioridad absoluta. Pero por mucho que nos esforcemos, seguirá habiendo vulnerabilidades. Te pedimos tu ayuda para proteger mejor nuestros sistemas y datos. Si descubres una vulnerabilidad, queremos que nos lo comuniques primero. Así podremos tomar medidas para solucionarla lo antes posible. Este tipo de informe se conoce como Divulgación coordinada de vulnerabilidades o CVD.

Qué debes hacer:

  • Informarnos acerca de la vulnerabilidad: envíanos tus hallazgos en Zerocopter aquí. En esta página también encontrarás información sobre las áreas y vulnerabilidades que consideramos dentro y fuera del ámbito de aplicación.
  • Informar de manera que se asegure la confidencialidad del informe para que otros no tengan acceso a la información.
  • Informar de la vulnerabilidad lo antes posible, para minimizar el riesgo de que los causantes de la amenaza se aprovechen de ella.
  • Ofrecer información suficiente para reproducir la vulnerabilidad, de modo que podamos resolverla. Normalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad es suficiente, pero las vulnerabilidades complejas requieren una explicación más detallada.

Qué no debes hacer:

  • Aprovechar la vulnerabilidad que has descubierto, por ejemplo, para descargar más datos de los necesarios para demostrar la vulnerabilidad o eliminar/modificar nuestros datos.
  • Revelar la vulnerabilidad a otros hasta que se haya resuelto.
  • Utilizar la vulnerabilidad para ataques a la seguridad física, ingeniería social, denegación de servicio distribuido, spam o aplicaciones (web) de terceros.
  • Acceder repetidamente al sistema ni compartir el acceso con otros.
  • Realizar activamente escaneos automatizados en nuestra infraestructura y nuestros sistemas para identificar vulnerabilidades.
  • Utilizar técnicas de «ataque de fuerza bruta» para acceder a nuestros sistemas o datos, ya que esto no se considera una vulnerabilidad.

Nuestras promesas:

Ofrecemos una recompensa por cada revelación de vulnerabilidad que todavía no conozcamos, como muestra de nuestra gratitud por tu ayuda. El importe de la recompensa se determinará en función de la gravedad de la vulnerabilidad. Los pagos se realizan una vez que un informe obtenga el estado de «resuelto».

  • Te mantendremos informado sobre los avances en la resolución de la vulnerabilidad mediante Zerocopter.
  • Tratamos tu informe de forma confidencial y no compartiremos tus datos personales con terceros sin tu consentimiento, a menos que estemos obligados a hacerlo por ley o por una sentencia judicial.
  • No emprenderemos acciones legales si presentas una vulnerabilidad de acuerdo con el procedimiento.