Un programa de divulgación de vulnerabilidades es el compromiso formal y público que adquiere una organización para recibir reportes de seguridad y actuar sobre ellos. Es la infraestructura que hace posible la divulgación responsable a escala: un scope claro, un canal de reporte y safe harbor legal para los investigadores que actúan de buena fe.
Por qué importa
En cualquier sistema no trivial se encontrarán vulnerabilidades, lo invite o no la organización. La cuestión es qué pasa a continuación. Sin un VDP, un investigador bienintencionado que descubre un fallo no tiene una forma segura y legal de reportarlo, y puede guardar silencio, publicarlo abiertamente o arriesgarse a amenazas legales por intentar ayudar. Un VDP elimina esa fricción y convierte una situación de confrontación en una de cooperación.
Para las organizaciones, un VDP es ya casi una expectativa básica. Las agencias federales de EE. UU. están obligadas a mantener uno, estándares como ISO/IEC 29147 codifican la práctica y los clientes piden cada vez más un canal de divulgación publicado en sus revisiones de seguridad. Para los investigadores, los VDP son una forma legítima y de bajo riesgo de contribuir y construir reputación.
Qué contiene un VDP
Las agencias gubernamentales, las grandes empresas y, cada vez más, las pequeñas compañías publican VDP, a menudo basados en plantillas como la plantilla de política de divulgación de vulnerabilidades de CISA.
VDP frente a bug bounty
| VDP | Bug Bounty | |
|---|---|---|
| Recompensa | Reconocimiento, Hall of Fame, swag | Dinero, escalonado por severidad |
| Competencia | Normalmente baja | Alta en los programas populares |
| Objetivo principal | Un canal seguro para recibir reportes | Pruebas incentivadas y continuas |
| Ideal para | Principiantes, construir reputación | Cazadores experimentados, ingresos |
Un bug bounty paga dinero; un VDP normalmente ofrece reconocimiento. Esa única diferencia lo cambia todo en cuanto a la competencia. Los programas remunerados atraen a miles de cazadores, así que los bugs fáciles desaparecen rápido. Los VDP atraen a muchos menos, de modo que un investigador centrado tiene margen para trabajar.
Por qué los principiantes deberían empezar por los VDP
Para un cazador novato, un VDP con un Hall of Fame corto es uno de los mejores primeros objetivos posibles. Poca competencia significa pocos duplicados, lo que significa que tu primer reporte válido es mucho más alcanzable.
Para aprender a encontrar, puntuar y priorizar estos programas de baja competencia, lee cómo elegir tu primer objetivo de bug bounty. La disciplina de elegir el VDP adecuado, y comprometerte con él, es lo que convierte un primer reconocimiento en un historial sostenido.
Cómo enseñamos Programa de divulgación de vulnerabilidades (VDP)
En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Programa de divulgación de vulnerabilidades (VDP) en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.
Cubierto en:
Módulo 10: Pentesting y Hacking Ético
360+ horas de formación experta • CompTIA Security+ incluido