Política de divulgación responsable de vulnerabilidades (VDP)

Actualizado: 19 de diciembre de 2025 a las 10:23

Valoramos la investigación en ciberseguridad y aceptamos informes enviados de buena fe. Actualmente, los pentests externos no los aceptamos.

Alcance

skyalo.com, *.skyalo.com
Apps móviles de Skyalo (versiones públicas vigentes)

Fuera de alcance: servicios de terceros, DoS/flood, fuerza bruta, ingeniería social, ataques físicos, spam/informes DMARC, divulgación de versiones sin impacto, clickjacking sin impacto demostrado, cabeceras ausentes sin exploit.

Reglas

Actúa de buena fe, evita vulnerar la privacidad y degradar el servicio.
Usa solo tus propias cuentas/datos.
No accedas ni modifiques datos que no te pertenecen. Si accedes por accidente, detente de inmediato y avísanos.
No uses escaneo automatizado que afecte a la disponibilidad/estabilidad.

Cómo enviar un informe

Escribe a [email protected], e incluye:

Host/endpoint afectado y entorno
Pasos claros para reproducirlo
PoC mínimo (solicitud/respuesta HTTP, capturas)
Evaluación del impacto y la severidad (idealmente CVSS v3.1)
Ventana de pruebas e IPs de origen

No envíes secretos por e-mail (credenciales, tokens, volcados de BD): enmascara la información sensible.

Safe Harbor

Si cumples esta política, no emprenderemos acciones legales y consideraremos tus acciones como autorizadas a efectos del reporte.

Recompensas y reconocimiento

Actualmente, las recompensas económicas no están previstas. Por informes verificados y no duplicados: agradecimiento público (Hall of Fame) y, si lo solicitas, una carta de agradecimiento. Los duplicados pueden cerrarse sin reconocimiento adicional; el crédito lo recibe el primer informe válido.

Plazos y SLA

Confirmación de recepción: en un plazo de 3 días laborables
Estado tras el triage: según el resultado de la revisión
Divulgación coordinada: te pedimos no publicar detalles hasta que salga el parche (hasta 90 días)

Objetivos de remediación: Critical — 7 días; High — 30 días; Medium — 90 días; Low — según planificación. En caso de discrepancias, prevalece la versión en inglés.