Política de Divulgación Responsable

Ayúdanos a mantener APIBip seguro para todos.

Nuestro Compromiso con la Seguridad

La seguridad de nuestros usuarios y la confidencialidad de sus datos es la máxima prioridad en APIBip. A pesar de nuestros continuos esfuerzos en el desarrollo de código seguro y la realización de pruebas exhaustivas, entendemos que ninguna plataforma es inmune a las vulnerabilidades.

Por ello, valoramos enormemente el trabajo de la comunidad de investigadores de seguridad. Fomentamos la identificación y el reporte responsable de cualquier vulnerabilidad potencial en nuestros servicios. Nos comprometemos a investigar todos los informes legítimos y a hacer todo lo posible para solucionar rápidamente cualquier problema.

Código de Conducta

Te pedimos que actúes de buena fe y sigas estas reglas al investigar y reportar vulnerabilidades:

  • Actúa siempre dentro de la ley. No participes en actividades que la infrinjan.
  • No degrades el servicio. Evita realizar pruebas que puedan interrumpir, degradar o afectar negativamente el rendimiento de nuestros servicios para otros usuarios (como ataques de denegación de servicio - DDoS).
  • Respeta la privacidad. No accedas, modifiques ni elimines datos que no te pertenezcan. Si durante tu investigación accedes a datos de usuarios o de la empresa, debes detenerte y notificárnoslo inmediatamente.
  • No realices ingeniería social. No contactes ni intentes engañar a nuestro personal o a nuestros clientes.
  • Mantén la confidencialidad. No divulgues públicamente ninguna información sobre la vulnerabilidad potencial hasta que hayamos tenido un tiempo razonable para analizarla y solucionarla.

Cómo Reportar una Vulnerabilidad

Para reportar una vulnerabilidad de seguridad, por favor, envía un correo electrónico a nuestra dirección dedicada: .

Para ayudarnos a procesar tu informe de la manera más rápida y eficaz posible, te agradecemos que incluyas la siguiente información (preferiblemente en inglés o español):

  • Título claro y descriptivo de la vulnerabilidad.
  • Descripción detallada y los pasos exactos para reproducir el problema.
  • Pruebas de concepto, como capturas de pantalla, registros de tráfico, scripts o vídeos, que demuestren el fallo.
  • Plataformas, URLs o IPs relevantes para tu investigación.
  • Tu evaluación del impacto potencial de la vulnerabilidad.

Exclusiones del Programa

Aunque valoramos todos los informes, no responderemos a los siguientes tipos de hallazgos:

  • Informes basados en resultados de escáneres automáticos sin una prueba de concepto que demuestre una vulnerabilidad explotable.
  • Vulnerabilidades que solo afecten a usuarios con navegadores o sistemas operativos obsoletos y sin parches de seguridad.
  • Ausencia de cabeceras de seguridad HTTP que no demuestren un riesgo de seguridad directo (ej. `Content-Security-Policy`, `X-Content-Type-Options`, etc.).
  • Informes sobre información que ya es de dominio público.
  • Informes de ataques de spam o phishing.

Reconocimiento y Compensación

Este programa se basa en la buena fe y el reconocimiento. Actualmente, no es un programa de recompensas monetarias (bug bounty). No ofrecemos compensación económica por los informes recibidos.

Agradecemos sinceramente el tiempo y el esfuerzo de cada investigador que nos ayuda a mantener nuestra plataforma segura. Estamos abiertos a ofrecer un reconocimiento público a quienes contribuyan a la seguridad de APIBip, siempre que se respete nuestra política de divulgación.

Gracias por ayudarnos a construir un internet más seguro para todos.