¿Te están atacando ahora?Under attack right now?·SLA 2h · forense, contención y reporte regulatorioSLA 2h · forensics, containment, regulatory reportEmergency IREmergency IR→
REKON / VDP / 2026COORDINATED · GOOD FAITH · NO EXTORTION
SAFE HARBOR · CVDhello@rekon.sh
§ VDP / 2026 · COORDINATED DISCLOSURE
Investigación de buena fe. Divulgación coordinada. Cero extorsión.Good-faith research. Coordinated disclosure. Zero extortion.
Esta política describe cómo Rekon opera cuando identifica vulnerabilidades en activos públicos de terceros que no nos contrataron. Si recibiste un reporte nuestro sin una relación contractual previa, empezá por acá para entender nuestra metodología, compromisos y límites.This policy describes how Rekon operates when we identify vulnerabilities in public-facing third-party assets that have not engaged us directly. If you received a cold report from us, start here to understand our methodology, commitments and limits.
Un colectivo de investigación en seguridad.An independent security-research collective.
Rekon es un colectivo independiente de investigación en seguridad dedicado a fortalecer el ecosistema digital. Creemos que la identificación proactiva de fallas de seguridad es esencial para proteger a las personas y mantener la confianza en la infraestructura global.Rekon is an independent security-research collective dedicated to strengthening the digital ecosystem. We believe that proactive identification of security flaws is essential to protect users and maintain trust in global infrastructure.
Nuestra investigación se realiza de buena fe, enfocándose exclusivamente en activos de cara al público, para identificar riesgos críticos antes de que puedan ser explotados por actores maliciosos.Our research is conducted in good faith, focusing exclusively on public-facing assets, to identify critical risks before they can be exploited by malicious actors.
§ 02 / 06MetodologíaMethodology
Investigación aumentada por IA.AI-augmented research.
Operamos un framework propietario orquestado por agentes basados en LLMs y modelos de razonamiento avanzados. Esto nos permite hacer análisis de lógica profundo y reconocimiento de superficie de ataque a escala, sin sacrificar rigor.We run a proprietary framework orchestrated by LLM-based agents and advanced reasoning models. This lets us do deep logic analysis and surface-area reconnaissance at scale, without sacrificing rigor.
§ HUMAN-IN-THE-LOOP
Validación humana obligatoriaMandatory human validation
Cada hallazgo automatizado es validado por un investigador humano senior para garantizar precisión, eliminar falsos positivos y evaluar el impacto real de negocio antes de cualquier comunicación externa.Every automated finding is validated by a senior human researcher to ensure accuracy, eliminate false positives and assess real-world business impact before any external communication.
Nuestros agentes están programados para realizar la cantidad mínima de interacciones necesaria para construir una Prueba de Concepto reproducible. No hay escaneo en masa, no hay fuzzing agresivo, no hay payloads destructivos.Our agents are programmed to perform the minimum interaction required to build a reproducible Proof of Concept. No mass scanning, no aggressive fuzzing, no destructive payloads.
Rekon opera bajo los principios de Divulgación Coordinada de Vulnerabilidades (CVD, RFC 9116 + ISO/IEC 29147). Cuando recibís un reporte nuestro, podés tener certeza de estos cuatro compromisos:Rekon operates under Coordinated Vulnerability Disclosure principles (CVD, RFC 9116 + ISO/IEC 29147). When you receive a report from us, you can rely on these four commitments:
01
Sin disrupción del servicioNo service disruption
No realizamos ataques de denegación de servicio (DoS), stress tests, ni ninguna actividad que impacte la disponibilidad. No corremos scans en horario punta. No saturamos endpoints.No Denial-of-Service attacks, no stress tests, no activity that impacts availability. No scans during peak hours. No endpoint saturation.
02
Integridad de datosData integrity
No modificamos, eliminamos ni alteramos ningún dato dentro de tus sistemas. No creamos cuentas, no inyectamos registros, no borramos evidencia. Testing read-only salvo que el vector explícitamente requiera un write inocuo.No modifying, deleting or altering data in your systems. No account creation, no record injection, no evidence wiping. Testing is read-only unless a vector explicitly requires an innocuous write.
03
Privacidad primeroPrivacy first
Si encontramos información personal identificable (PII) o datos sensibles de negocio, nos detenemos inmediatamente, documentamos la exposición sin exfiltrar los datos y reportamos. No almacenamos ni distribuimos datos de terceros bajo ninguna circunstancia.If we encounter Personally Identifiable Information (PII) or sensitive business data, we stop immediately, document the exposure without exfiltrating the data and report it. We do not store or distribute third-party data under any circumstances.
04
Cero extorsiónZero extortion
No buscamos compensación económica ni "bounties" por reportes no solicitados. Nuestra única meta es la remediación del riesgo. Si querés contratarnos formalmente después del reporte, podés hacerlo por los canales normales — nunca como condición de la divulgación.We do not seek financial compensation or "bounties" for unsolicited reports. Our sole goal is risk remediation. If you want to engage us formally after the report, you can do so through normal channels — never as a disclosure precondition.
§ 04 / 06Reglas de engagementRules of engagement
Cómo operamos, en concreto.How we actually operate.
Para calificar como investigación de buena fe bajo CVD, todo el equipo adhiere a estas reglas sin excepción:To qualify as good-faith research under CVD, every team member adheres to these rules without exception:
1
Solo activos públicosPublic-facing assets onlyInteractuamos exclusivamente con sistemas destinados al acceso público (sitios web, APIs públicas, apps móviles distribuidas en tiendas oficiales, repositorios de código abiertos). No tocamos redes internas, empleados, ni infraestructura pagada por tickets.We only interact with systems intended for public access (public websites, public APIs, mobile apps distributed on official stores, open source repositories). No internal networks, no employees, no paywalled infrastructure.
2
Footprint mínimoMinimal footprintUsamos la menor cantidad de requests posible para validar una vulnerabilidad. Si podemos confirmar el issue con 3 requests, no mandamos 30. Los logs de tu WAF no deberían notar nuestra presencia salvo en los puntos críticos del PoC.We use the smallest number of requests possible to validate a vulnerability. If we can confirm the issue with 3 requests, we don't send 30. Your WAF logs shouldn't notice our presence except at the critical PoC touchpoints.
3
ConfidencialidadConfidentialityNo divulgamos los hallazgos a terceros ni al público hasta que se haya implementado un fix y se haya coordinado con la organización afectada. Respetamos una ventana estándar de 90 días; se puede extender por mutuo acuerdo.We do not disclose findings to third parties or the public until a fix has been implemented and coordinated with the affected organization. We respect a standard 90-day window; extensions are possible by mutual agreement.
4
Cese inmediatoImmediate ceaseDetenemos toda actividad sobre un target tan pronto como se confirma una vulnerabilidad crítica, para prevenir efectos secundarios no intencionados. Un PoC suficiente es suficiente — no expandimos la explotación por curiosidad ni para "ver hasta dónde llega".We stop all activity on a target as soon as a critical vulnerability is confirmed, to prevent unintended side effects. A sufficient PoC is sufficient — we don't expand exploitation out of curiosity or to "see how far it goes".
§ 05 / 06Si recibiste un reporteIf you received a report
Información para organizaciones afectadas.Information for affected organizations.
Si Rekon te contactó, es porque identificamos una vulnerabilidad que podría comprometer tu seguridad o la de tus usuarios. Esto es lo que ya te entregamos y cómo podemos colaborar contigo:If Rekon contacted you, it's because we identified a vulnerability that could compromise your security or your users'. Here is what we already deliver and how we can collaborate with you:
§ WHAT WE DELIVER
Reporte técnico completoComplete technical report
Incluye scoring CVSS v3.1, pasos de reproducción numerados, traces HTTP completos, screenshots de evidencia y guía accionable de remediación. Si aplica, mapping a frameworks de compliance (PCI DSS, ISO 27001, SOC 2, GDPR o ley de datos local).
→ Ver reporte de ejemplo completo→ View complete sample reportIncludes CVSS v3.1 scoring, numbered reproduction steps, full HTTP traces, evidence screenshots and actionable remediation guidance. Where applicable, mapping to compliance frameworks (PCI DSS, ISO 27001, SOC 2, GDPR or local data law).
Validación del fix, sin costoFix validation, at no cost
Estamos disponibles para asistir a tus equipos de ingeniería en la validación del fix y discutir hardening de seguridad a largo plazo. El retest del hallazgo reportado es gratuito. Si después querés un engagement más amplio, aplicamos descuento del valor del reporte original al pricing normal.We are available to assist your engineering teams in fix validation and to discuss long-term security hardening. Retest of the reported finding is free. If you later want a broader engagement, we credit the value of the original report against our normal pricing.
§ 06 / 06Contact
Para consultas sobre un reporte.For inquiries about a report.
Respondé con "recibido + ventana de contacto" y coordinamos los pasos siguientes. Sin formularios, sin portales, sin intermediarios.Reply with "received + contact window" and we'll coordinate next steps. No forms, no portals, no intermediaries.