Buscar
Distancia
Búsqueda avanzada
1
Vender un vehículo Community

¿Encontraste una vulnerabilidad en nuestros sistemas?

Si descubres una vulnerabilidad técnica en nuestros sistemas, hay un proceso para reportarla. A esto le llamamos Divulgación Coordinada de Vulnerabilidades (CVD). Pero si encuentras una vulnerabilidad en un sistema o producto que no es parte de nuestra plataforma, tu primer paso debe ser reportarla al dueño de ese sistema o producto en particular. Solo debes contactar a nuestro equipo técnico si la organización responsable no responde adecuadamente para solucionar la vulnerabilidad. En esos casos, actuaremos como intermediarios y trabajaremos para llamar su atención sobre el problema. Para consultas o comentarios que no estén relacionados con cybersecurity, no dudes en contactarnos a través de nuestra página "Contáctanos".

Además, si identificas vulnerabilidades que afecten a múltiples sistemas o proveedores, no dudes en ponerte en contacto con nuestro equipo técnico. En estos casos, podemos ayudar a coordinar una solución para las vulnerabilidades identificadas. Puedes reportar estas vulnerabilidades usando nuestro formulario de contacto, y nos pondremos en contacto contigo para facilitar el proceso de resolución.

¿Qué vulnerabilidades pueden ser sujeto de un CVD?

Puedes reportarnos vulnerabilidades si tienen el potencial de comprometer la seguridad del sistema. Por ejemplo, podrían incluir vulnerabilidades que permitan saltarse los formularios de login o que den acceso no autorizado a bases de datos con información personal.

Es importante aclarar que no todos los defectos del sistema califican como vulnerabilidades. Normalmente, los siguientes defectos no suelen resultar en una brecha de seguridad, y te pedimos amablemente que no nos reportes este tipo de problemas:

  • Defectos que no afecten la disponibilidad, integridad o confidencialidad de los datos.
  • La disponibilidad de la funcionalidad xmlrpc.php de WordPress cuando su abuso se limita a lo que se conoce como un ataque de denegación de servicio 'pingback'.
  • La posibilidad de usar cross-site scripting en un sitio web estático o en uno que no procese datos sensibles (de usuario).
  • La disponibilidad de información de versión, por ejemplo a través de un archivo info.php. Una posible excepción aquí sería si la información de versión revela que el sistema usa software con vulnerabilidades conocidas.
  • La falta de HTTP security headers usados por mecanismos como Cross-Origin Resource Sharing (CORS), a menos que esta falta demuestre claramente un problema de seguridad.
  • Certificados como SSL o nombres de dominio que estén por expirar.

Si tienes dudas sobre si el defecto que encontraste cae en una de estas excepciones, igual puedes reportárnoslo.

Luego determinaremos si el defecto constituye una vulnerabilidad y tomaremos las medidas de seguimiento apropiadas.

¿Cómo envías informes de vulnerabilidades (CVD)?

Sigue estos pasos:

  • Llena el formulario de contacto y cuéntanos qué encontraste.
  • En tu reporte, describe lo más claro posible cómo reproducir el problema, así agilizamos la solución. Normalmente basta con la dirección IP o URL del sistema afectado y una descripción de la vulnerabilidad, pero casos más complejos pueden necesitar más datos. En esos casos, nos pondremos en contacto contigo.
  • Como mínimo, déjanos un email o teléfono para contactarte si tenemos dudas. Preferimos comunicarnos por email.

Asegúrate de:

  • Reportar la vulnerabilidad tan pronto como la descubras.
  • No comentar con nadie sobre el problema de seguridad hasta que te confirmemos que está resuelto.
  • Manejar el conocimiento de la vulnerabilidad de forma responsable; no realices acciones más allá de las necesarias para demostrarla.

¿Qué no debes hacer?

Nunca realices estas acciones:

  • Introducir malware en el sistema.
  • Copiar, modificar o borrar datos del sistema.
  • Hacer cambios en el sistema.
  • Acceder repetidamente al sistema o compartir el acceso con otros.
  • Realizar ataques de fuerza bruta para acceder al sistema.
  • Llevar a cabo ataques de denegación de servicio o ingeniería social.

Principios de nuestra política de CVD

  • Si envías tu reporte siguiendo el procedimiento, no habrá consecuencias legales. Trataremos tu reporte con confidencialidad y no compartiremos tu información personal sin tu permiso, a menos que la ley lo exija.
  • Solo te identificaremos como el descubridor de la vulnerabilidad si nos das permiso.
  • Confirmaremos la recepción de tu reporte en un día hábil y te enviaremos una evaluación en tres días hábiles. También te mantendremos al tanto del progreso para resolver el problema.
  • Nuestro equipo de seguridad intentará resolver el problema que reportaste en un máximo de 60 días. Una vez resuelto, coordinaremos contigo para decidir si publicar detalles del problema y su solución, y cómo hacerlo.
  • Nuestro equipo de seguridad también te dará una recompensa por tu ayuda. Puede ser desde un café, una camiseta, hasta vales de regalo, dependiendo de la gravedad de la vulnerabilidad y la calidad de tu reporte.
Para poder recibir una recompensa, el reporte debe ser sobre una vulnerabilidad seria que nuestro equipo de seguridad no haya visto antes.

Ubicación

Distancia: km