Divulgación de vulnerabilidades y security.txt para sitios de empresa
Un flujo práctico de security.txt y divulgación de vulnerabilidades para empresas pequeñas que quieren una vía de contacto de seguridad creíble.
Puntos clave
- security.txt da a los investigadores un lugar predecible para encontrar un contacto de seguridad.
- El buzón detrás de ese contacto debe monitorizarse y enrutarse internamente.
- Una política pública reduce la confusión antes de que ocurra un incidente.
Qué resuelve security.txt
Investigadores y clientes no deberían adivinar si un problema de seguridad pertenece al formulario de contacto, al buzón de soporte o a un mensaje en redes sociales. Un archivo security.txt crea una ruta estándar para reportar vulnerabilidades.
El archivo es pequeño, pero señala madurez operativa cuando incluye contacto real, URL canónica, URL de política e idioma preferido.
Configuración mínima práctica
- Publique /.well-known/security.txt en el dominio canónico.
- Use un buzón de seguridad monitorizado, como security@example.com.
- Enlace a una política de divulgación de vulnerabilidades o página de seguridad.
- Asegúrese de que soporte y contacto sepan dónde reenviar reportes de seguridad.
Flujo de respuesta
El sitio web es solo el punto de entrada. Una configuración de nivel empresa también necesita responsable de respuesta, triage de severidad, captura de evidencias, seguimiento de correcciones y una plantilla breve para acusar recibo de reportes válidos.
Errores comunes
- Publicar un buzón de seguridad que nadie monitoriza.
- Usar una dirección personal en lugar de un alias de empresa.
- Olvidar actualizar la URL canónica tras una migración de dominio.
- Tratar la divulgación como una página legal solamente, no como un flujo operativo.