Reportar una vulnerabilidad debería ser algo sencillo.
Encuentras la vulnerabilidad, la documentas, la envías y la empresa te da las gracias.

Pero si llevas tiempo en esto, sabes que la mayoría de las veces ocurre justo lo contrario. Te ignoran, te cuestionan o incluso te amenazan con denunciarte, y una acción de buena fe acaba convirtiéndose en una situación hostil. Aquí es donde entra en juego el Safe Harbor, o Puerto Seguro en español.

¿Qué es el Safe Harbor y por qué debería importarte como hacker ético?

En pocas palabras, Safe Harbor es un conjunto de compromisos y garantías que protegen a los investigadores que reportan vulnerabilidades de buena fe y siguiendo las políticas de la empresa en cuestión.

No hay mejor forma de entender la importancia del Safe Harbor que viendo cómo la falta de protección puede acarrear problemas legales. En el repositorio de amenazas legales a investigadores de seguridad de disclose.io se documentan casos reales donde empresas han actuado de manera desproporcionada contra investigaciones realizadas de buena fe.

Estos son solo algunos ejemplos de las numerosas denuncias que sufren los investigadores de seguridad. No se trata de casos aislados, sino de una realidad que demuestra cómo la ausencia de un marco legal claro y protector pone en riesgo la seguridad jurídica de los investigadores y desincentiva la colaboración.

Disclose.io

Disclose.io nace como un proyecto independiente que busca estandarizar las buenas prácticas de Safe Harbor para proteger la investigación en ciberseguridad realizada de buena fe.

Su objetivo es ofrecer recursos abiertos y gratuitos para ayudar a empresas y organizaciones a crear o mejorar sus programas de divulgación de vulnerabilidades. También promueve un sello reconocible que identifica a quienes participan en esta iniciativa global.

El proyecto es público y está en GitHub, donde cualquiera puede consultarlo, adaptarlo o contribuir. Gracias a esta transparencia, disclose.io se ha convertido en un estándar internacional en buenas prácticas de divulgación responsable.

Nuestro compromiso con los hackers

Desde Secur0 hemos adaptado el estándar de disclose.io a la normativa española y europea, reflejando así nuestro compromiso con ofrecer los estándares más altos de seguridad y protección a nuestra red de hackers éticos.

Nuestra versión adaptada ha sido elaborada con el respaldo de asesoría legal especializada, garantizando su cumplimiento con la normativa española y europea.

Más allá de disclose.io: ISO/IEC 29147 y 30111

En Secur0 no solo nos basamos en disclose.io para proteger a nuestra comunidad de hackers éticos y clientes. También seguimos las normas ISO/IEC 29147 y 30111.

• ISO/IEC 29147: Norma que establece requisitos y recomendaciones para los proveedores sobre la divulgación de vulnerabilidades en productos y servicios.

• ISO/IEC 30111: Norma que establece requisitos y recomendaciones sobre cómo procesar y remediar las vulnerabilidades potenciales notificadas en un producto o servicio.

Si quieres estar al tanto del crecimiento de Secur0 y del bug bounty en España, no olvides suscribirte a esta newsletter.