Divulgacion Responsable
Como manejamos las vulnerabilidades descubiertas en nuestra investigacion
Nuestro Enfoque
Cuando ODINT descubre vulnerabilidades en la infraestructura digital gubernamental, equilibramos el interes publico en la transparencia con la responsabilidad de minimizar el dano. Nuestra politica de divulgacion esta disenada para dar a las partes afectadas un tiempo razonable para abordar los problemas mientras se garantiza que los hallazgos importantes eventualmente lleguen al publico.
Principio Rector
Creemos que la divulgacion publica de problemas de seguridad finalmente mejora la seguridad para todos. Sin embargo, tambien reconocemos que la divulgacion inmediata de vulnerabilidades criticas puede causar dano. Nuestra politica busca equilibrar estas consideraciones.
Categorias de Divulgacion
Vulnerabilidades Criticas
Problemas que podrian resultar en dano inmediato a individuos (por ejemplo, datos personales expuestos, sistemas que permiten la vigilancia de poblaciones vulnerables). Notificamos a las partes afectadas inmediatamente y proporcionamos 30-90 dias para la remediacion antes de la divulgacion publica.
Problemas de Alta Severidad
Debilidades de seguridad significativas que podrian ser explotadas (por ejemplo, evasiones de autenticacion, interfaces administrativas desprotegidas). Proporcionamos 60 dias de aviso antes de la publicacion.
Hallazgos Generales
Infraestructura expuesta que representa una mala practica de seguridad pero presenta un riesgo inmediato limitado (por ejemplo, versiones de software obsoletas, servicios mal configurados). Podemos publicar sin aviso previo, aunque a menudo notificamos a las partes afectadas como cortesia.
Cronograma Estandar de Divulgacion
Proceso Tipico
Metodos de Notificacion
Intentamos contactar a las partes afectadas a traves de:
- Direcciones de contacto de seguridad oficiales (security@, abuse@)
- Archivos security.txt publicados
- Organizaciones CERT/CSIRT nacionales
- Contacto directo con departamentos gubernamentales relevantes
Factores que Afectan el Cronograma
Podemos extender o acortar nuestro cronograma de divulgacion basandonos en:
- Severidad del dano: Problemas mas severos reciben ventanas de remediacion mas largas
- Explotacion activa: Vulnerabilidades ya explotadas pueden divulgarse inmediatamente
- Capacidad de respuesta: Organizaciones que trabajan activamente en correcciones pueden recibir extensiones
- Interes publico: Problemas que afectan procesos democraticos pueden justificar una divulgacion mas rapida
- Coordinacion: Cuando trabajamos con socios, nos alineamos en una divulgacion coordinada
Lo que Publicamos
Nuestras divulgaciones tipicamente incluyen:
- Descripcion de la vulnerabilidad y sistemas afectados
- Impacto potencial y evaluacion de riesgos
- Cronologia de nuestros intentos de divulgacion
- Estado actual (remediado o no)
- Recomendaciones para las partes afectadas
No publicamos codigo de explotacion funcional ni informacion tecnica detallada que beneficiaria principalmente a los atacantes.
Excepciones
Podemos desviarnos de esta politica cuando:
- Una vulnerabilidad ya esta siendo explotada activamente
- La parte afectada se niega a participar o amenaza con acciones legales
- La seguridad publica requiere divulgacion inmediata
- Se ha acordado una fecha de divulgacion coordinada con socios
Reportar una Vulnerabilidad en los Sistemas de ODINT
Si ha encontrado un problema de seguridad en la propia infraestructura de ODINT, por favor reportelo a traves de nuestra pagina de Contacto de Seguridad.
Ultima actualizacion: 27 de enero de 2026