Ir al contenido
XoloC2

Uso Responsable

Uso Responsable

Sección titulada «Uso Responsable»

Requisito de autorización

Sección titulada «Requisito de autorización»

XoloC2 es una herramienta exclusivamente para pruebas de penetración autorizadas.

Debes tener permiso escrito y explícito del propietario del sistema antes de desplegar cualquier beacon o ejecutar cualquier comando contra un sistema objetivo. El acceso no autorizado a sistemas informáticos es un delito en la mayoría de jurisdicciones, incluyendo:

  • Estados Unidos — Computer Fraud and Abuse Act (CFAA), 18 U.S.C. § 1030
  • Unión Europea — Directiva sobre ataques contra los sistemas de información (2013/40/UE)
  • Reino Unido — Computer Misuse Act 1990
  • México — Código Penal Federal, Art. 211 bis

“Solo estaba probando” no es una defensa legal sin autorización escrita previa.

Qué significa el uso autorizado

Sección titulada «Qué significa el uso autorizado»

Antes de desplegar XoloC2 en cualquier engagement:

  • Tienes un acuerdo de pruebas de penetración firmado o un statement of work (SOW)
  • El documento de alcance lista explícitamente los sistemas e IPs en scope
  • El cliente ha sido informado de que se usará un framework C2
  • Tienes un punto de contacto en el cliente que puede verificar tu actividad si es necesario

Para qué no está diseñada esta herramienta

Sección titulada «Para qué no está diseñada esta herramienta»

XoloC2 no está diseñado ni pensado para:

  • Acceso no autorizado a sistemas que no poseas y para los que no tengas autorización de prueba
  • Apuntar a sistemas fuera de un alcance acordado
  • Vigilancia, stalkerware o monitoreo de individuos sin su consentimiento
  • Ataques a infraestructura crítica, salud o servicios públicos
  • Cualquier actividad que cause daño, interrupción o pérdidas económicas a terceros

Tus responsabilidades como operador

Sección titulada «Tus responsabilidades como operador»
  • Contén tu infraestructura — usa redirectores y kill dates para limitar la exposición tras terminar un engagement
  • Limpia — elimina beacons y mecanismos de persistencia de los sistemas objetivo al finalizar el engagement
  • Protege tu servidor C2 — activa MFA, whitelist de IPs y contraseñas seguras; un servidor C2 comprometido es una responsabilidad para tus clientes
  • Protege los datos exfiltrados — los datos recopilados durante las pruebas deben manejarse según los requisitos de clasificación de datos del cliente y eliminarse después de entregar el reporte
  • Divulga vulnerabilidades de forma responsable — los hallazgos descubiertos durante un engagement pertenecen al cliente; coordina la divulgación a través de ellos

La licencia MIT y la responsabilidad

Sección titulada «La licencia MIT y la responsabilidad»

XoloC2 se publica bajo la Licencia MIT. Esta licencia permite el uso, modificación y distribución libre, pero no incluye garantía y no impone restricciones de uso.

Los autores y colaboradores de XoloC2 no aceptan ninguna responsabilidad por el uso que se haga de este software. La responsabilidad del uso legal, ético y autorizado recae íntegramente en el operador.

Reportar uso indebido

Sección titulada «Reportar uso indebido»

Si crees que la infraestructura de XoloC2 está siendo usada para actividades no autorizadas, repórtalo en GitHub: github.com/Juguitos/XoloC2/issues.