Política de Divulgación Responsable de Vulnerabilidades

Sobre esta Política

En The Hackers Labs creemos en una cultura de ciberseguridad abierta, ética y colaborativa. Reconocemos que la comunidad de investigadores puede ayudarnos a identificar vulnerabilidades desconocidas y mejorar la seguridad de nuestra plataforma.

Esta Política de Divulgación Responsable (VDP) define las condiciones bajo las cuales la investigación de seguridad en nuestros sistemas se considera autorizada y protegida, siempre que se actúe de buena fe y siguiendo estas directrices.

Qué describe esta política

Esta política describe:

  • • Qué sistemas y tipos de investigación están cubiertos bajo esta política.
  • • Directrices generales para demostrar buena fe durante la investigación.
  • • Cómo enviar reportes de vulnerabilidades.
  • • Qué puede esperar el investigador tras enviar un reporte.
  • • Criterios para la emisión de Cartas de Reconocimiento (LOR).

Alcance de Sistemas

Esta política aplica a los sistemas gestionados por The Hackers Labs que sean accesibles desde Internet bajo los dominios autorizados:

Dominio Descripción Estado
*.thehackerslabs.com Plataformas y servicios oficiales gestionados por The Hackers Labs. En alcance
hacken.thehackerslabs.com Dominio no autorizado para pruebas. Fuera de alcance
rooted.thehackerslabs.com Dominio no autorizado para pruebas. Fuera de alcance
innovasur.thehackerslabs.com Dominio no autorizado para pruebas. Fuera de alcance

Fuera de alcance (no autorizado):

  • • Servicios internos no expuestos públicamente a Internet.
  • • Sistemas de proveedores, contratistas o terceras partes (salvo que afecten directamente a datos de The Hackers Labs).
  • • Cualquier dominio o servicio que no esté bajo el control de The Hackers Labs.

Los sistemas de terceros donde, accidentalmente, se detecten datos de The Hackers Labs no están técnicamente en alcance, pero le pedimos que nos notifique estos hallazgos sin intentar explotarlos.

Datos especialmente sensibles:

  • • Datos de carácter personal sensibles (DNI, salud, dirección completa, etc.).
  • • Información financiera (números de tarjeta, cuentas bancarias, IBAN, etc.).
  • • Propiedad intelectual, información confidencial o secretos comerciales.
  • • Documentación con marcas de sensibilidad (p. ej. “Confidencial”, “Uso interno”).

Tipos de Pruebas NO Autorizadas

Los siguientes tipos de pruebas no están permitidos bajo esta política:

  • • Ataques basados en ingeniería social (p. ej., inducir a un usuario a hacer clic en un enlace controlado por el atacante).
  • • Ataques de Denegación de Servicio (DoS / DDoS), problemas de rate limiting o campañas de spam (p. ej., ataques de capa 7, Slowloris, etc.).
  • • Clickjacking en páginas que no incluyan acciones sensibles o impacto demostrable.
  • • Cualquier reporte que se limite al endpoint /wp-json/wp/v2/users sin prueba de impacto real.
  • • Cualquier reporte relacionado con el endpoint xmlrpc.php sin vector de explotación claro.
  • • Ataques que requieran acceso físico al dispositivo del usuario.
  • • Uso de librerías conocidas como vulnerables sin una prueba de concepto funcional que demuestre explotabilidad.
  • • Content spoofing o inyección de texto sin un vector de ataque explotable.
  • • Reportes procedentes exclusivamente de herramientas automáticas o escaneos sin demostración manual del impacto.
  • • Divulgación de versiones de software sin evidencia de explotación posible.
  • • Uso de una librería vulnerable sin prueba de que pueda explotarse en el contexto del sistema afectado.
  • • Carencias de “mejores prácticas” sin vulnerabilidad real (por ejemplo: cabeceras de seguridad faltantes, ausencia de CAPTCHA, certificados inseguros, etc.).
  • • Problemas de SSL o TLS de bajo impacto (p. ej., suites de cifrado o certificados inseguros) sin explotación demostrada.
  • • Falta de cabeceras de seguridad (p. ej., HTTP Strict-Transport-Security (HSTS), Content Security Policy (CSP), etc.) cuando no conduzcan directamente a una vulnerabilidad.
  • • Presencia del atributo “autocomplete” en formularios web sin riesgo adicional.
  • • Inyecciones de cabecera Host a menos que se demuestre cómo pueden conducir al robo de datos de usuario u otro impacto crítico.
  • • Configuración insegura de cookies que no estén asociadas a datos sensibles.
  • • Directory listing sin exposición de información sensible ni vector de ataque real.
  • • Vulnerabilidades que afecten exclusivamente a usuarios con navegadores o plataformas obsoletas o sin soporte.
  • • Problemas relacionados únicamente con mensajes de error descriptivos o verbosos sin impacto explotable.
  • • Cualquier otro tipo de prueba de seguridad no técnica o sin impacto de seguridad demostrable.

Directrices de Buena Fe para Investigadores

Para que su actividad se considere autorizada bajo esta política, le pedimos que:

  • • Evite impactar la disponibilidad o estabilidad de los servicios en producción.
  • • Notifique a The Hackers Labs tan pronto como le sea posible tras descubrir un posible problema de seguridad.
  • • Mantenga la confidencialidad de la vulnerabilidad hasta que se haya corregido o se acuerde su divulgación.
  • • Evite la exfiltración, modificación o destrucción de datos en cualquier momento.
  • • Utilice exploits solo en la medida mínima necesaria para confirmar la existencia de la vulnerabilidad.
  • • No establezca persistencia, shells remotas ni “pivoting” a otros sistemas.
  • • Interrumpa las pruebas inmediatamente si encuentra datos personales o información especialmente sensible.

En caso de acceso accidental a datos sensibles, detenga las pruebas de inmediato, no almacene ni comparta dichos datos y notifíquelo lo antes posible a The Hackers Labs.

Reportar una vulnerabilidad

Este canal de reporte está destinado a investigadores externos. Personal interno de The Hackers Labs debe usar los canales internos habituales.

La información enviada bajo esta política se utilizará únicamente con fines defensivos: para analizar, mitigar y corregir vulnerabilidades.

Qué incluir en el reporte

  • • Descripción clara de la vulnerabilidad y su impacto potencial.
  • • Dominio, URL, endpoint o recurso exacto afectado.
  • • Pasos detallados para reproducirla (incluyendo, si es posible, PoC, scripts, capturas de pantalla o vídeo).
  • • Indicador de si requiere usuario autenticado y con qué tipo de permisos.
  • • Idioma recomendado: español o inglés.
  • • Datos de contacto (si desea recibir seguimiento y posible reconocimiento).

Por favor, envíe sus reportes a: [email protected]

Ventana de divulgación responsable: The Hackers Labs solicita que no se haga pública información detallada sobre la vulnerabilidad durante, al menos, 90 días desde el reporte inicial, salvo acuerdo expreso en sentido contrario.

Qué puede esperar un investigador de The Hackers Labs

Cuando un investigador envía un reporte e incluye su información de contacto, The Hackers Labs se compromete a:

  • • Confirmar la recepción del reporte en un plazo aproximado de 3 días hábiles.
  • • Informar, en la medida de lo posible, si la vulnerabilidad ha sido reproducida y validada.
  • • Mantenerle al tanto del progreso de la mitigación o corrección, especialmente en el caso de problemas críticos.
  • • Mantener un diálogo respetuoso y constructivo durante todo el proceso.
  • • Ofrecer, cuando proceda, reconocimiento por su contribución una vez solucionado el problema.

Cartas de Reconocimiento (LOR)

The Hackers Labs puede emitir, a su discreción, Cartas de Reconocimiento (Letters of Recognition, LOR) para agradecer las contribuciones relevantes de los investigadores.

Importante: no todos los reportes enviados califican para una LOR.

Criterios generales para LOR

  • • El reporte no debe ser un duplicado de uno previamente recibido.
  • • El problema no debe ser un fallo ya conocido o previamente documentado por The Hackers Labs.
  • • La vulnerabilidad debe ser válida, tener impacto real y haber sido confirmada y corregida.
  • • El investigador debe haber actuado de buena fe y haber respetado esta política de principio a fin.

En resumen, las LOR se reservan para reportes que aporten valor real a la seguridad de nuestros sistemas y cuya solución se haya completado satisfactoriamente.

Autorización y Puerto Seguro

Siempre que un investigador actúe de buena fe y dentro de los límites de esta política, The Hackers Labs considerará dicha actividad como autorizada sobre sus sistemas.

En particular, The Hackers Labs se compromete a:

  • • No iniciar acciones legales por acceso ilícito (artículos de intrusión informática del Código Penal Español) cuando se cumpla estrictamente esta política.
  • • No emprender acciones basadas en la Ley de Propiedad Intelectual por la mera elusión de medidas técnicas con fines de investigación de seguridad legítima.
  • • Renunciar, de forma limitada, a cláusulas contractuales que impidan la ingeniería inversa o análisis de seguridad, para actividades cubiertas por esta política.

Si un tercero (por ejemplo, un proveedor de hosting o un ISP) iniciara acciones legales contra un investigador por actividades realizadas conforme a esta política, The Hackers Labs, en la medida de lo posible, hará constar que dicha actividad estaba autorizada en el marco de esta VDP.

Esta política no exime al investigador del cumplimiento de la legislación aplicable. Si en algún momento tiene dudas sobre si su investigación se ajusta a esta política o al marco legal, le recomendamos contactar antes de seguir probando en [email protected].

Reportar