Buzón de vulnerabilidades del Grupo Iberdrola
En el Grupo Iberdrola nos comprometemos a reforzar la seguridad de nuestros sistemas y la protección de nuestros activos. A través de este formulario recibimos los comentarios de la comunidad de investigadores de seguridad que contribuyan a asegurar los productos y servicios para todas las sociedades del Grupo (Iberdrola S.A., las sociedades subholding - Iberdrola España, S.A.U.; Scottish Power Ltd.; Avangrid, Inc.; Neoenergia, S.A.; Iberdrola México, S.A. de C.V. e Iberdrola Energía Internacional, S.A.U.- y todas sus sociedades dependientes).
Nos encargamos de investigar y resolver cualquier vulnerabilidad detectada en nuestras plataformas. Por favor, no olvide redactar su informe de forma clara y concisa.
La búsqueda y análisis de incidencias no puede servir como pretexto para entrar en un sistema sin autorización o acceder a sus datos de manera indebida, ya que cualquier actividad debe respetar la legislación vigente. Se debe prestar especial cuidado a:
- No realizar actividades que puedan interrumpir o degradar los servicios y/o sistemas de Iberdrola.
- Evitar probar cualquier servicio proporcionado por un tercero
- Utilizar técnicas de ingeniería social, que están prohibidas
- Si se consigue acceso a un sistema, cuenta, o datos de usuarios, detener la actividad de inmediato e informar a los administradores
- No modificar ni destruir los datos que no le pertenecen.
- Toda información obtenida durante la investigación debe eliminarse de forma segura después de notificar la vulnerabilidad.
Vulnerabilidades de bajo impacto
Una vulnerabilidad solo estará dentro del alcance si se puede demostrar que tendría un impacto real para Iberdrola, S.A.
Los siguientes tipos de vulnerabilidades se consideran de bajo impacto y se marcarían como fuera del alcance si se enviaran:
- Clickjacking/Revisión de la interfaz de usuario.
- La falta de registros SPF/DMARC/DKIM o que estén incompletos.
- Enumeración de cuentas/correos electrónicos mediante ataques de fuerza bruta.
- Enumeración de la estructura del directorio (a menos que el ataque revele información que pueda ser de interés específico para un atacante).
- Vulnerabilidades que afectan a los usuarios de navegadores, complementos o plataformas desactualizados.
- Mensajes de error sin prueba de explotación u obtención de información que pueda considerarse sensible.
- Divulgaciones de información de bajo impacto.
AVISO - Si lo que reporta no es una vulnerabilidad relacionada con las webs del grupo y tiene que ver con el funcionamiento de su suministro o cualquier otro problema puede encontrar el buzón correspondiente en el siguiente enlace: Canales de contacto: servicios al cliente.
Disponemos de un buzón de contacto donde nuestros proveedores pueden comunicar posibles incidentes en materia de ciberseguridad. Puedes encontrar aquí toda la información [PDF].