Informes de vulnerabilidad

Aborde las potenciales vulnerabilidades en cualquier aspecto de nuestros servicios de nube

Amazon Web Services se toma la seguridad muy en serio, por lo que investiga todas las vulnerabilidades registradas. En esta página describimos nuestra forma de proceder para resolver las posibles vulnerabilidades que puedan afectar a cualquier aspecto de nuestros servicios en la nube.

Informe de sospechas de vulnerabilidades

  • Amazon Web Services (AWS): si desea informar una vulnerabilidad o tiene alguna pregunta sobre la seguridad en relación con servicios en la nube de AWS o proyectos de código abierto, envíe la información a aws-security@amazon.com. Si desea proteger el contenido de su envío, puede utilizar nuestra clave PGP.
  • Política de soporte al cliente de AWS para las pruebas de penetración: los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de intrusión en su infraestructura de AWS sin aprobación previa para los servicios indicados. La solicitud de información de otros eventos simulados debe entregarse mediante el formulario de Eventos Simulados. Para los clientes que operan en la región de AWS China (Ningxia y Pekín), use este formulario de eventos simulados.
  • Abuso de AWS: si sospecha que los recursos de AWS (como una instancia de EC2 o un bucket de S3) se utilizan para actividades sospechosas, puede informarlo al equipo AWS Abuse Team mediante el formulario de informe de abuso de Amazon AWS o contactando con abuse@amazonaws.com.
  • Información de cumplimiento AWS: El acceso a los informes de cumplimiento AWS están disponibles mediante AWS Artifact. Si tiene preguntas adicionales relacionadas con el cumplimiento de AWS, contáctese mediante el formulario de ingreso.
  • Ventas en Amazon.com: Si tiene alguna pregunta sobre la seguridad en relación con las ventas de Amazon.com, Seller Central, Amazon Payments u otras cuestiones relacionadas como pedidos sospechosos, cargos no válidos en la tarjeta de crédito, correos electrónicos sospechosos o informes de vulnerabilidad, visite nuestra página web Seguridad para ventas.

A fin de poder responder a su informe de manera más eficiente, proporcione cualquier material de respaldo (código de la prueba de concepto, resultado de una herramienta, etc.) que podría ser útil para ayudarnos a comprender la naturaleza y la gravedad de la vulnerabilidad.

La información que comparta con AWS como parte de este proceso es confidencial dentro de AWS. AWS solo compartirá esta información con un tercero si la vulnerabilidad que informa resulta afectar al producto de un tercero, en cuyo caso compartiremos esta información con el autor o fabricante del producto del tercero. De otro modo, AWS solo compartirá esta información según usted lo permita.

AWS revisará el informe enviado y le asignará un número de seguimiento. A continuación, le responderemos, acusando el recibo del informe, y le explicaremos los próximos pasos del proceso.

SLA para evaluación de AWS

AWS se compromete a responderle y a mantenerle informado de nuestro progreso a medida que investigamos o mitigamos los problemas de seguridad informados. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 24 horas para confirmarle que hemos recibido su informe de vulnerabilidad. Recibirá actualizaciones sobre la evolución de parte de AWS cada cinco días laborables, como mínimo.

Notificación pública

Si procede, AWS coordina con usted la notificación pública de cualquier vulnerabilidad validada. Si fuera posible, preferiríamos que nuestras comunicaciones públicas correspondientes se publicaran simultáneamente.

A efectos de proteger a nuestros clientes, AWS le pide que no publique ni comparta información sobre alguna posible vulnerabilidad que pueda afectar al público hasta que hayamos investigado, respondido y solucionado la vulnerabilidad comunicada y, en última instancia, después de haber informado a los clientes si lo estimamos conveniente. Además, con nuestro más sincero respeto, le pedimos que no publique ni comparta datos que pertenezcan a nuestros clientes. El abordaje de una vulnerabilidad informada tomará tiempo, y la línea de tiempo dependerá de la severidad de la vulnerabilidad y los sistemas afectados.

Las notificaciones públicas de AWS aparecen en forma de boletines de seguridad, que se publican en el sitio web de seguridad de AWS. Los particulares, las empresas y los equipos de seguridad suelen publicar los avisos en sus propios sitios web y en otros foros. Cuando lo consideremos oportuno, incluiremos estos enlaces en los recursos de terceros de los boletines de seguridad de AWS.  

Puerto seguro

AWS cree que la búsqueda de seguridad realizada de buena fe debe brindar un puerto seguro. Hemos adoptado los Términos centrales de Disclose.io, sujetos a las condiciones siguientes, y esperamos con ansias trabajar con buscadores de seguridad que compartan nuestra pasión por proteger a los clientes de AWS.

Ámbito

Las siguientes actividades están fuera del alcance del Programa de informe de vulnerabilidades de AWS. Conducir cualquiera de las siguientes actividades resultará en la descalificación del programa permanentemente.

  1. Apuntar a bienes de clientes de AWS o a sitios ajenos de AWS albergados en nuestra infraestructura
  2. Cualquier vulnerabilidad obtenida mediante el compromiso del cliente de AWS o cuentas de empleados
  3. Cualquier ataque de Denegación de Servicio (DoS) contra productos AWS o clientes AWS
  4. Ataques físicos contra empleados de AWS, oficinas y centros de datos
  5. Ingeniería social de empleados AWS, contratistas, proveedores o proveedores de servicios
  6. Publicar, transmitir, cargar, vincular o enviar malware deliberadamente
  7. Buscar vulnerabilidades que envíen mensajes no solicitados en gran escala (spam)

Política de divulgación

Tras haber enviado el informe, AWS se centrará en validar la vulnerabilidad informada. Si se precisa de información adicional para validar o reproducir el problema, AWS colaborará con usted para obtenerla. Cuando se haya completado la investigación inicial, se le enviarán los resultados junto con un plan de resolución y debate de divulgación.

Cabe tener en cuenta algunos aspectos sobre el proceso de AWS:

  1. Productos de terceros:Muchos proveedores ofrecen productos en la nube de AWS. Por tanto, si se observa que la vulnerabilidad afecta al producto de un tercero, AWS avisará al propietario de la tecnología afectada. AWS continuará coordinando la comunicación entre usted y el tercero de que se trate. No obstante, no se revelará su identidad al tercero sin contar con su consentimiento previo.
  2. Confirmación de no vulnerabilidades: Si no se puede validar el problema o se observa que no origina un defecto en un producto de AWS, le informaremos.
  3. Clasificación de vulnerabilidad: AWS utiliza la versión 3.1 del sistema de clasificación de vulnerabilidades comunes (Common Vulnerability Scoring System, CVSS) para evaluar las posibles vulnerabilidades. La puntuación final ayuda a medir la gravedad del problema y a dar prioridad a nuestras respuestas. Para obtener más información sobre CVSS, consulte el sitio de NVD.
Póngase en contacto con un representante empresarial de AWS
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Busca trabajo en el área de seguridad?
Inscríbase hoy mismo »
¿Desea recibir novedades sobre temas de seguridad en AWS?
Síganos en Twitter »