Informes de vulnerabilidad

Aborde las potenciales vulnerabilidades en cualquier aspecto de nuestros servicios de nube

Amazon Web Services se toma la seguridad muy en serio, por lo que investiga todas las vulnerabilidades registradas. En esta página describimos nuestra forma de proceder para resolver las posibles vulnerabilidades que puedan afectar a cualquier aspecto de nuestros servicios en la nube.

Informe de sospechas de vulnerabilidades

  • Ventas en Amazon.com: Si tiene alguna pregunta sobre la seguridad en relación con las ventas de Amazon.com, Seller Central, Amazon Payments u otras cuestiones relacionadas como pedidos sospechosos, cargos no válidos en la tarjeta de crédito, correos electrónicos sospechosos o informes de vulnerabilidad, visite nuestra página web Seguridad para ventas.
  • Amazon Web Services (AWS): Si desea informar de una vulnerabilidad o tiene alguna pregunta sobre la seguridad en relación con los servicios en la nube de AWS, envíenos un correo electrónico a aws-security@amazon.com. Si desea proteger su correo electrónico, puede utilizar nuestra clave PGP.

Si sospecha que los recursos de AWS (como una instancia EC2 o un bucket de S3) se utilizan para actividades sospechosas, puede notificarlo al equipo AWS Abuse Team.

A fin de poder responder a su informe de manera más eficiente, proporcione cualquier material de respaldo (código de la prueba de concepto, resultado de una herramienta, etc.) que podría ser útil para ayudarnos a comprender la naturaleza y la gravedad de la vulnerabilidad.

La información que comparta con AWS como parte de este proceso es confidencial dentro de AWS. No se comparte con terceras partes sin su permiso.

AWS revisará el informe enviado y le asignará un número de seguimiento. A continuación, le responderemos, acusando el recibo del informe, y le explicaremos los próximos pasos del proceso.

Evaluación de AWS

Tras haber enviado el informe, AWS se centrará en validar la vulnerabilidad informada. Si se precisa de información adicional para validar o reproducir el problema, AWS colaborará con usted para obtenerla. Cuando se haya completado la investigación inicial, se le enviarán los resultados junto con un plan de resolución y divulgación.

Cabe tener en cuenta algunos aspectos sobre el proceso de evaluación de AWS:

  • Productos de terceros: Muchos proveedores ofrecen productos en la nube de AWS. Por tanto, si se observa que la vulnerabilidad afecta al producto de un tercero, AWS avisará al autor del software afectado. AWS continuará coordinando la comunicación entre usted y el tercero de que se trate. No obstante, no se revelará su identidad al tercero sin contar con su consentimiento previo.
  • Confirmación de no vulnerabilidades: Si no se puede validar el problema o se observa que no se trata de un defecto en un producto de AWS, le informaremos.
  • Clasificación de vulnerabilidad: AWS utiliza la versión 2.0 del sistema de clasificación de vulnerabilidades comunes (Common Vulnerability Scoring System, CVSS) para evaluar las posibles vulnerabilidades. La puntuación final ayuda a medir la gravedad del problema y a dar prioridad a nuestras respuestas. Para obtener más información sobre CVSS, consulte el anuncio sobre CVSS-SIG.

AWS se compromete a responderle y a mantenerle informado de nuestro progreso a medida que investigamos o mitigamos los problemas de seguridad informados. Recibirá una respuesta no automatizada a su notificación inicial en un plazo de 24 horas para confirmarle que hemos recibido su informe de vulnerabilidad. Le enviaremos actualizaciones sobre la evolución cada cinco días laborables, como mínimo.

Notificación pública

Si procede, AWS coordina con usted la notificación pública de una vulnerabilidad validada. Si fuera posible, preferiríamos que nuestras comunicaciones públicas correspondientes se publicaran simultáneamente.

A efectos de proteger a nuestros clientes, AWS le pide que no publique ni comparta información sobre alguna posible vulnerabilidad que pueda afectar al público hasta que hayamos investigado, respondido y solucionado la vulnerabilidad comunicada y, en última instancia, después de haber informado a los clientes si lo estimamos conveniente. Además, con nuestro más sincero respeto, le pedimos que no publique ni comparta datos que pertenezcan a nuestros clientes. Solucionar una vulnerabilidad comunicada constatada llevará su tiempo. Esto variará en función de la gravedad de la vulnerabilidad y de los sistemas afectados.

Las notificaciones públicas de AWS aparecen en boletines de seguridad, que se publican en el Centro de seguridad de AWS. Los particulares, las empresas y los equipos de seguridad suelen publicar los avisos en sus propios sitios web y en otros foros. Cuando lo consideremos oportuno, incluiremos estos enlaces en los recursos de terceros de los boletines de seguridad de AWS.

Póngase en contacto con un representante empresarial de AWS
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Busca trabajo en el área de seguridad?
Inscríbase hoy mismo »
¿Desea recibir novedades sobre temas de seguridad en AWS?
Síganos en Twitter »