Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad ofensiva

Divulgación responsable

La divulgación responsable es la práctica de informar de forma privada a la organización afectada sobre una vulnerabilidad de seguridad y darle un plazo razonable para corregir el problema antes de cualquier divulgación pública. Equilibra el objetivo de transparencia del investigador con la necesidad de la organización de proteger a sus usuarios mientras se desarrolla un parche.

Autor
parth-narula
Tiempo de lectura
3 min de lectura
Última actualización

La divulgación responsable es la columna vertebral ética de la investigación de seguridad moderna. Define cómo debe actuar un investigador que encuentra una vulnerabilidad: reportarla de forma privada, dar tiempo a la organización para corregirla y, solo entonces, plantearse hacerla pública. Bien hecha, protege a los usuarios, exige responsabilidad a los fabricantes y, al mismo tiempo, refuerza la reputación del investigador.

Por qué importa

Una vulnerabilidad se vuelve peligrosa en el momento en que se hace de dominio público sin que exista una corrección. La divulgación responsable existe para cerrar esa brecha. Al reportar primero en privado, el investigador da a los defensores la oportunidad de aplicar el parche antes de que los atacantes puedan convertir el fallo en un arma, algo especialmente importante en problemas de alto impacto que, de filtrarse, podrían convertirse en un exploit de día cero.

La práctica también protege al investigador. Seguir un proceso de divulgación reconocido, y mantenerse dentro del scope de un programa, es lo que separa la investigación de seguridad legítima del acceso no autorizado. Es la base que permite que el bug bounty y la divulgación coordinada funcionen a gran escala.

El espectro de la divulgación

La mayoría de los programas de bug bounty y de los programas de divulgación de vulnerabilidades funcionan con el modelo coordinado, con plazos acordados y cláusulas de safe harbor que protegen a los investigadores de buena fe.

El proceso de divulgación responsable

  1. Encuentra el contacto adecuado. Busca un archivo security.txt (RFC 9116), una página de seguridad o un programa publicado.
  2. Redacta un informe claro. Incluye los pasos para reproducir el fallo, el impacto y una prueba de concepto mínima.
  3. Mantente dentro del scope. No accedas a más datos de los necesarios para demostrar el problema.
  4. Acuerda un plazo. Una ventana de 90 días es la norma habitual del sector antes de la divulgación pública.

Divulgación responsable para principiantes

Para los nuevos cazadores, la divulgación responsable también es una estrategia. Los programas que publican un contacto en security.txt pero no ofrecen una recompensa formal suelen tener muy poca competencia, lo que los convierte en objetivos ideales para empezar. Estándares como disclose.io ayudan a que ambas partes acuerden los términos, y organismos públicos como CISA promueven la divulgación coordinada como buena práctica.

La divulgación responsable no es solo una cuestión de etiqueta; es el marco de confianza que permite a investigadores independientes y organizaciones trabajar juntos para hacer el software más seguro.

En el Bootcamp

Cómo enseñamos Divulgación responsable

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Divulgación responsable en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 10: Pentesting y Hacking Ético

Temas relacionados que dominarás:MetasploitNmapBurp SuiteEscalada de Privilegios
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido