Seguridad

Programa Bug Bounty. Encuentra vulnerabilidades, recibe recompensas.

Ayudanos a mejorar nuestra seguridad y gana recompensas. Invitamos a investigadores de seguridad a probar nuestros sistemas de manera responsable. Si encuentras una vulnerabilidad, te pagaremos por reportarla.

Reportar una vulnerabilidad

Reglas

Reglas basicas

  • Prueba con cuidado: no interrumpas nuestros servicios ni uses herramientas de escaneo automatizadas.
  • Usa solo tu propia cuenta de prueba. Nunca intentes acceder a las cuentas de otros usuarios.
  • Notificanos inmediatamente si obtienes acceso a nuestros sistemas internos.
  • Mantén tus descubrimientos confidenciales hasta que hayamos resuelto el problema.
  • Solo la primera persona en reportar una vulnerabilidad especifica recibe la recompensa.

Alcance

Lo que buscamos

Recompensamos descubrimientos que representen riesgos reales de seguridad. Las recompensas son mayores para problemas criticos:

  • Acceso no autorizado a datos de otros usuarios (simplemente confirmar la existencia de una cuenta no cuenta).
  • Evadir controles de seguridad de la API (ej: evadir rate-limit, bypass de autenticacion).
  • Vulnerabilidades de Cross-site scripting (XSS).
  • Ejecucion remota de codigo en nuestros servidores.
  • Inyeccion SQL u otros ataques de inyeccion.
  • Fallos de autenticacion o gestion de sesiones.

Solo recompensamos vulnerabilidades de seguridad que puedan perjudicar a usuarios o sus datos, no bugs cosmeticos o funcionalidades rotas.

Exclusiones

Lo que no pagamos

  • Ataques de denegacion de servicio (DoS/DDoS) o intentos de fuerza bruta.
  • Problemas de contenido mixto o configuracion SSL.
  • Ingenieria social o ataques de phishing.
  • Vulnerabilidades teoricas sin prueba de concepto funcional.
  • Headers de seguridad faltantes o configuraciones de endurecimiento estandar (ej: politica de contraseñas, verificacion de email).
  • Vulnerabilidades en servicios de terceros o dependencias fuera de nuestro control.

Recompensas

Como pagamos

Cuanto mas critica sea la vulnerabilidad, mayor sera la recompensa. No hay un tope fijo. Si encuentras algo particularmente serio o ingenioso, te recompensaremos en consecuencia. Los montos se determinan en funcion del impacto potencial de la vulnerabilidad.

Los pagos se realizan en USD via PayPal despues de la verificacion y resolucion de la vulnerabilidad. Se aplican las tarifas estandar de PayPal.

Reportar

Como reportar

01

Enviar

Completa el formulario de reporte a continuacion con una descripcion detallada y prueba de concepto.

02

Revision

Nuestro equipo de seguridad revisara tu reporte y respondera en un plazo de 7 dias habiles.

03

Resolucion

Trabajamos en una correccion. Podemos contactarte para detalles adicionales.

04

Recompensa

Una vez verificada y resuelta la vulnerabilidad, procesamos tu recompensa en USD via PayPal.

Reportar una vulnerabilidad

Completa el formulario a continuacion con el mayor detalle posible. Incluye pasos de reproduccion, evaluacion de impacto y cualquier prueba de concepto.