Introducción
Ivan Carlos Consultoría agradece los comentarios de investigadores de seguridad y del público en general para ayudar a mejorar nuestra seguridad, protegiendo la información de todos. Si crees haber descubierto una vulnerabilidad, problema de privacidad, exposición de datos u otros problemas de seguridad en cualquiera de nuestros activos, queremos escucharte.
Esta política describe las directrices para la realización de actividades de descubrimiento de vulnerabilidades, el alcance permitido, cómo enviarnos reportes y qué puedes esperar de nosotros durante este proceso.
Autorización y Safe Harbor (Puerto Seguro)
Si haces un esfuerzo de buena fe para cumplir esta política durante tu investigación de seguridad, consideraremos que tu investigación, realizada bajo esta política, es:
Autorizada en relación con cualquier ley aplicable contra intrusiones cibernéticas (anti-hacking), y no iniciaremos ni apoyaremos acciones legales en tu contra por violaciones accidentales y de buena fe de esta política;
Autorizada en relación con cualquier ley relevante de evasión de controles tecnológicos, y no presentaremos quejas contra ti por eludir controles tecnológicos;
Exenta de restricciones en nuestros Términos de Servicio (TOS) y/o Política de Uso Aceptable (AUP) que interferirían en la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada; y
Legal, útil para la seguridad general de Internet y realizada de buena fe.
Se espera, como siempre, que cumplas todas las leyes aplicables. Si se inicia una acción legal en tu contra por un tercero y has actuado conforme a esta política, tomaremos medidas para hacer público que tus acciones fueron realizadas conforme a nuestras directrices y cuentan con nuestra autorización.
Nota: El Safe Harbor se aplica solo a reclamaciones legales bajo el control de Ivan Carlos Consultoría. Esta política no vincula a terceros independientes. Si en cualquier momento tienes dudas o no estás seguro si tu investigación cumple con esta política, envíanos un mensaje a través de nuestros Canales Oficiales antes de continuar.
Nuestros Compromisos
Al trabajar con nosotros de acuerdo con esta política, puedes esperar que nosotros:
Respondamos a tu reporte rápidamente, confirmando la recepción;
Trabajemos de manera abierta contigo para entender, validar y analizar la vulnerabilidad hasta su resolución;
Nos esforcemos por mantenerte informado sobre el progreso de una vulnerabilidad mientras se procesa;
Trabajemos para corregir las vulnerabilidades descubiertas de manera oportuna, dentro de nuestras limitaciones operativas; y
Extender el Safe Harbor para tu investigación de vulnerabilidades relacionada con esta política.
Nuestras Expectativas y Directrices
Al participar en nuestro programa de divulgación de vulnerabilidades de buena fe, te pedimos que:
Sigas las reglas, incluyendo esta política y cualquier otro acuerdo relevante. En caso de inconsistencia entre esta política y otros términos aplicables, prevalecerán los términos de esta política;
Nos notifiques lo antes posible tras descubrir un problema de seguridad real o potencial;
Hagas todos los esfuerzos para evitar violaciones de la privacidad de terceros, degradación de la experiencia del usuario, interrupción de sistemas de producción y destrucción o manipulación de datos;
Limitación de Acceso y Explotación: Usa exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad y demostrar una Prueba de Concepto (PoC). No uses una explotación para comprometer o exfiltrar datos, establecer acceso persistente a la línea de comandos o usar la explotación para migrar (pivotar) a otros sistemas;
Datos Sensibles: Si la vulnerabilidad proporciona acceso no intencional a datos, limita el acceso al mínimo necesario. Si encuentras datos de usuarios, como Información de Identificación Personal (PII), Información de Salud (PHI), datos de tarjeta de crédito, información financiera, propiedad intelectual o secretos comerciales, detén la prueba inmediatamente, notifícanos y no divulgues esos datos a nadie más;
Interactúa solo con cuentas de prueba que poseas o con permiso explícito del titular de la cuenta;
Proporciónanos un período de tiempo razonable (al menos 90 días a partir del reporte inicial) para resolver el problema antes de divulgarlo públicamente;
Usa solo los Canales Oficiales para discutir información de vulnerabilidades con nosotros;
No envíes un gran volumen de reportes de baja calidad; y
No te involucres en extorsión de ninguna naturaleza.
Alcance
Sistemas en Alcance: Esta política se aplica a cualquier activo digital perteneciente, operado o mantenido por Ivan Carlos Consultoría.
Fuera de Alcance: Activos u otros equipos que no pertenezcan a las partes participantes en esta política están fuera del alcance y las pruebas no están autorizadas. Las vulnerabilidades descubiertas en sistemas fuera del alcance, excepto cuando estén relacionadas con configuraciones realizadas por Ivan Carlos Consultoría, deben ser reportadas al proveedor adecuado o autoridad correspondiente. Esto incluye infraestructura de terceros, que no pertenezca a Ivan Carlos Consultoría ni a sus clientes, incluyendo, pero no limitado a:
Servicios de colaboración como Microsoft 365 y Google Workspace;
Servicios de seguridad como Acronis y ESET;
Servicios de soporte como TeamViewer y Zendesk.
Métodos de Prueba No Autorizados
Los siguientes métodos de prueba no están autorizados bajo ninguna circunstancia:
Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que perjudiquen el acceso o dañen un sistema o datos;
Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, uso no autorizado);
Ingeniería social (por ejemplo, phishing, vishing);
Cualquier otra prueba de vulnerabilidad no técnica.
Recompensas (Bug Bounty)
Ivan Carlos Consultoría no cuenta con un programa de recompensas en efectivo por bugs (Bug Bounty), correspondiendo a sus clientes la decisión de recompensar a los investigadores por eventuales vulnerabilidades encontradas en sus entornos específicos.
Reporte de una Vulnerabilidad (Canales Oficiales)
La información enviada bajo esta política será utilizada únicamente con fines defensivos (mitigar o remediar vulnerabilidades).
Aceptamos reportes de vulnerabilidades a través de los siguientes canales, pudiendo enviarse de forma anónima:
Correo electrónico:
security@icc.ggFormulario Oficial: Portal de Soporte
Si tus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio de terceros (y no solo a Ivan Carlos Consultoría), podremos compartir tu reporte con agencias de ciberseguridad e infraestructura, donde será tratado conforme al proceso coordinado de divulgación de vulnerabilidades. No compartiremos tu nombre ni información de contacto con terceros sin tu permiso expreso.
Aviso: No ofrecemos soporte para correos electrónicos cifrados por PGP. Para información particularmente confidencial, recomendamos enviarla mediante nuestro formulario seguro.
Qué nos gustaría ver en tu reporte
Cuantos más detalles proporciones, más fácil será para nosotros clasificar y corregir el problema. Recomendamos que tus reportes:
Describan el lugar exacto donde se descubrió la vulnerabilidad y el posible impacto de su explotación;
Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (scripts de prueba de concepto - PoC o capturas de pantalla son extremadamente útiles);
Estén redactados en portugués, inglés o español.
Dudas
Preguntas generales sobre esta política, dudas sobre si tu investigación cumple con las directrices o sugerencias de mejora pueden enviarse a security@icc.gg.