Security

Programa Bug Bounty

Encuentra bugs, recibe recompensas.

Ayudanos a mejorar nuestra seguridad y gana recompensas. Invitamos a investigadores de seguridad a probar nuestros sistemas de manera responsable. Si encuentras una vulnerabilidad, te pagaremos por reportarla.

Reportar una vulnerabilidad
Reglas

Reglas basicas

  • 1Prueba con cuidado: no interrumpas nuestros servicios ni uses herramientas de escaneo automatizado.
  • 2Usa solo tu propia cuenta de prueba. Nunca intentes acceder a cuentas de otros usuarios.
  • 3Notificanos inmediatamente si obtienes acceso a sistemas internos.
  • 4Manten cualquier hallazgo confidencial hasta que hayamos resuelto el problema.
  • 5Solo la primera persona en reportar una vulnerabilidad especifica recibe la recompensa.
Alcance

Lo que buscamos

Recompensamos hallazgos que representen riesgos de seguridad reales. Las recompensas mas altas van para problemas mas criticos:

Acceso no autorizado a datos de otros usuarios (simplemente confirmar que existe una cuenta no califica).
Eludir controles de seguridad de la API (ej. evasion de limites de velocidad, evasion de autenticacion).
Vulnerabilidades de cross-site scripting (XSS).
Ejecucion remota de codigo en nuestros servidores.
Inyeccion SQL u otros ataques de inyeccion.
Fallos de autenticacion o gestion de sesiones.

Solo recompensamos vulnerabilidades de seguridad que podrian dañar a los usuarios o sus datos, no bugs cosmeticos o funciones rotas.

Exclusiones

Lo que no pagamos

Ataques de denegacion de servicio (DoS/DDoS) o intentos de fuerza bruta.
Problemas de contenido mixto o configuracion SSL.
Ataques de ingenieria social o phishing.
Vulnerabilidades teoricas sin prueba de concepto funcional.
Encabezados de seguridad faltantes o configuraciones de endurecimiento estandar (ej. politica de contrasena, verificacion de email).
Vulnerabilidades en servicios de terceros o dependencias fuera de nuestro control.
Recompensas

Como pagamos

Cuanto mas critica la vulnerabilidad, mayor la recompensa. No hay un tope fijo. Si encuentras algo particularmente serio o ingenioso, te compensaremos en consecuencia. Los montos de las recompensas se determinan en funcion del impacto potencial de la vulnerabilidad.

Los pagos se procesan en USD via PayPal despues de que la vulnerabilidad haya sido verificada y resuelta. Se aplican las tarifas estandar de PayPal.

Reporte

Como reportar

01

Enviar

Completa el formulario de reporte de vulnerabilidad a continuacion con una descripcion detallada y prueba de concepto.

02

Revision

Nuestro equipo de seguridad revisara tu reporte y respondera dentro de 7 dias habiles.

03

Resolucion

Trabajamos en una solucion. Podemos contactarte para detalles o aclaraciones adicionales.

04

Recompensa

Una vez que la vulnerabilidad sea verificada y resuelta, procesamos tu recompensa en USD via PayPal.

Reporte

Reportar una vulnerabilidad

Completa el formulario a continuacion con la mayor cantidad de detalles posible. Incluye pasos para reproducir, evaluacion de impacto y cualquier prueba de concepto.