Código de conducta de la comunidad Vulnscope

Alcance del Código

Aplica a Security Researchers, Empresas, equipos internos, colaboradores, invitados y cualquier persona que participe en programas, reportes, eventos o canales de Vulnscope.

Este Código complementa los Términos y Condiciones Generales, la Política de Divulgación, el Anexo de Acuerdo de Confidencialidad, el Anexo de Ranking y Sanciones, y las reglas particulares de cada programa.

Antes de participar en un programa, cada Usuario debe revisar este Código y la política específica del programa correspondiente. Al enviar un reporte, se entiende que el Usuario acepta cumplir esas reglas.

Conducta profesional

Las interacciones deben ser respetuosas, claras y orientadas a resolver el asunto técnico sin generar ruido operativo.

No está permitido enviar spam, comentarios repetitivos, tickets innecesarios, amenazas, insultos, descalificaciones o presiones indebidas por recompensas, severidad, cambios de estado o invitaciones.

Tampoco se permite usar reportes, correos, tickets, eventos o redes sociales para hostigar a Empresas, investigadores, usuarios finales o al equipo de Vulnscope.

• Usa evidencia y datos de prueba profesionales.
• Discute desacuerdos con argumentos técnicos.
• Evita publicar reclamos operativos con información sensible.

Acoso, discriminación y abuso

Vulnscope no tolera acoso, lenguaje de odio, intimidación, amenazas, contenido difamatorio o abuso contra personas o grupos.

La regla aplica a la plataforma, reportes, tickets, correos, eventos, llamadas, redes sociales y cualquier comunicación relacionada con la participación en Vulnscope.

Cualquier conducta discriminatoria por edad, nacionalidad, origen, apariencia, discapacidad, religión, experiencia, identidad, orientación sexual, género, opinión política u otra condición protegida podrá derivar en medidas de enforcement.

Pruebas seguras y alcance autorizado

Las pruebas deben ejecutarse solo sobre activos, cuentas, credenciales, entornos y métodos autorizados por la Empresa y por Vulnscope.

Si existe duda sobre alcance, volumen, impacto o seguridad de una prueba, el Usuario debe solicitar autorización antes de continuar.

Cuando una prueba entregue acceso a datos sensibles, cuentas, sesiones, credenciales o información no pública, el investigador debe detenerse y reportar inmediatamente sin profundizar más de lo necesario.

• Sin autorización escrita, no realices DoS, DDoS, pruebas de carga o acciones que afecten disponibilidad.
• No ejecutes ingeniería social, phishing, llamadas, contacto a soporte, pruebas físicas ni spam.
• No modifiques datos de producción, borres información ni alteres configuraciones.
• No pruebes clientes, proveedores, usuarios finales o terceros fuera del alcance publicado.

Reportes, evidencia y calidad técnica

Los reportes deben describir vulnerabilidades reales, reproducibles, dentro del alcance y con impacto claro.

Un buen reporte incluye pasos de reproducción, impacto, evidencia pertinente y prueba de concepto suficiente para validar el hallazgo sin ambigüedad.

Podrán ser rechazados o revisados los reportes especulativos, no reproducibles, generados masivamente sin validación manual, basados en información falsa o que incluyan contenido ofensivo, ilegal u obsceno.

• Prioriza calidad sobre cantidad.
• Explica mitigaciones existentes y contexto relevante.
• Adjunta evidencia solo cuando sea necesaria para demostrar impacto.

Uso responsable de automatización e IA

Las herramientas automatizadas e inteligencia artificial pueden apoyar el flujo de investigación, pero no reemplazan la responsabilidad humana.

El Usuario responde por sus scripts, agentes, scanners, herramientas de IA y cualquier impacto causado por ellos.

Toda actividad asistida por IA debe respetar alcance, límites de tráfico, reglas del programa, restricciones de automatización y estándares de calidad de Vulnscope.

• Valida manualmente resultados antes de reportar.
• No envíes hallazgos fabricados, alucinados, duplicados artificialmente o de bajo valor.
• No uses agentes autónomos para ejecutar pruebas fuera de alcance o con tráfico excesivo.

Confidencialidad y divulgación coordinada

Toda información no pública obtenida mediante Vulnscope o durante un programa debe tratarse como confidencial.

Esto incluye programas privados, nombres de Empresas, alcances, vulnerabilidades, recompensas, credenciales, datos de usuarios, evidencia, conversaciones, archivos, reportes e información técnica o comercial no publicada.

No se debe divulgar una vulnerabilidad, evidencia o detalle de programa sin aprobación escrita de la Empresa y de Vulnscope.

• No publiques evidencia en redes sociales, blogs, foros o repositorios.
• No subas información del programa a GitHub, Dropbox, YouTube, Pastebin u otros servicios externos sin autorización.
• No contactes a clientes, proveedores, usuarios finales o terceros afectados sin autorización expresa.

Canales oficiales

Reportes, validaciones, pagos, cambios de estado y dudas de programa deben gestionarse por canales oficiales.

Los canales oficiales incluyen la plataforma, el chat del reporte, soporte de Vulnscope y los correos indicados por Vulnscope o por la política del programa.

Salvo autorización expresa, no se debe contactar al equipo de la Empresa por canales externos para presionar, acelerar, negociar o divulgar información sobre un reporte.

Cuentas, ranking y reputación

Cada Usuario debe usar una cuenta personal, real, única e intransferible. La reputación debe reflejar actividad legítima.

Se considera abuso crear cuentas duplicadas para evadir sanciones, compartir o vender cuentas, presentar trabajo de terceros como propio, manipular reportes o buscar ventaja indebida en ranking, invitaciones o recompensas.

Vulnscope podrá revisar actividad sospechosa y aplicar medidas proporcionales según gravedad, reincidencia e impacto.

Propiedad intelectual, herramientas y contenido

Los Usuarios deben respetar derechos de autor, marcas, licencias, secretos comerciales, herramientas, investigaciones y reportes.

El uso de código, PoC, herramientas o investigaciones de otra persona debe respetar licencias, permisos y atribuciones correspondientes.

No está permitido usar software ilegal, herramientas obtenidas de forma ilícita, contenido falso o material que infrinja derechos de terceros para participar en programas.

Extorsión, chantaje e ingeniería social

Queda prohibido intentar obtener dinero, accesos, servicios o beneficios mediante coerción, amenazas o suplantación.

Esto incluye solicitudes de pago fuera de plataforma, amenazas de divulgación, chantaje, suplantación de identidad, ingeniería social no autorizada o intentos de evadir sanciones.

Estas conductas podrán derivar en suspensión inmediata, inhabilitación permanente, retención de pagos cuando corresponda, acciones legales y comunicación a autoridades competentes.

Medidas y enforcement

Vulnscope podrá revisar conductas reportadas o detectadas y adoptar medidas proporcionales según el caso.

Las medidas pueden incluir orientación educativa, advertencia formal, cierre o ajuste de reportes, limitación temporal de participación, pérdida de ranking, suspensión, inhabilitación permanente o comunicación a terceros relevantes.

La falta de una conducta en este listado no impide adoptar medidas cuando una acción sea contraria a la seguridad, confianza, legalidad o buen funcionamiento de la comunidad.