Ir al contenido principal

Reportar una Vulnerabilidad de Seguridad

Cómo enviar un informe de vulnerabilidad a Level, incluyendo directrices de alcance y qué incluir.

Actualizado hoy

Level realiza pruebas de penetración trimestrales y monitorea activamente las vulnerabilidades, pero el uso real descubre cosas que las pruebas automatizadas pierden. Si encuentra un problema de seguridad, queremos saberlo.

Envíe los reportes a [email protected].

ℹ️ NOTA: Si está creando una cuenta de prueba específicamente para investigación de vulnerabilidades, agregue « Tester » a su dirección de correo electrónico (por ejemplo, [email protected]) para que podamos filtrar esas cuentas de nuestras métricas.

Reportar una Vulnerabilidad de Seguridad

Qué Incluir en Su Reporte

Un reporte útil se aborda más rápido. Incluya:

  • Una descripción clara, paso a paso, de cómo reproducir la vulnerabilidad

  • El activo específico afectado (ver Activos en Alcance abajo)

  • Un escenario de ataque que demuestre el impacto potencial

  • Capturas de pantalla, video o código de prueba de concepto si es aplicable

Los reportes sin pasos de reproducción y un escenario de impacto no pueden ser procesados.

Activos en Alcance

Problemas en Alcance

Queremos reportes sobre:

  • Autenticación y gestión de sesiones — flujos de inicio de sesión, manejo de sesiones, OAuth, recuperación de cuentas, políticas de contraseña

  • Control de acceso — omisiones de permiso, CSRF, acceso no autorizado entre cuentas

  • Vulnerabilidades de inyección — inyección SQL, XSS y otros ataques basados en entrada

  • Acceso a dispositivos entre clientes — cualquier ruta que permita a un cliente acceder a dispositivos administrados de otro cliente

  • Vulnerabilidades a nivel de cuenta — carga de malware, incrustación de URL de phishing, ataques homógrafos RTLO/IDN por usuarios no confiables en la misma cuenta

Las pruebas deben realizarse en sus propias cuentas de Level. Si necesita un entorno de espacio aislado, contáctenos antes de realizar pruebas.

Problemas Fuera del Alcance

Estos no serán aceptados. No envíe reportes para:

Comportamiento que hemos evaluado y aceptado:

  • Limitación de velocidad

  • Preocupaciones de mejores prácticas sin evidencia de una vulnerabilidad explotable

  • Sesiones que no se invalidan cuando está habilitado 2FA

  • Vulnerabilidades que solo afectan a usuarios en navegadores obsoletos y sin parches

  • Condiciones de carrera sin impacto de seguridad

  • CSRF en acciones sin impacto de seguridad (inicio de sesión, cierre de sesión, páginas no autenticadas)

  • Riesgos teóricos sin una ruta de ataque demostrada

  • Salida de escáneres automatizados sin explicación

Ruido de infraestructura / configuración:

  • Suplantación de correo / políticas SPF / DKIM / DMARC

  • Inyección de hipervínculo en correos electrónicos

  • Encabezados de seguridad faltantes a menos que estén vinculados a una vulnerabilidad específica

  • Problemas de cifrado SSL/TLS sin una prueba de concepto funcionando

  • Captura de banner y divulgación de versión de software

  • Puertos abiertos sin una vulnerabilidad demostrada

  • DNSSEC / DANE

  • Encabezados HSTS o CSP

  • Divulgación de archivos públicos conocidos (por ejemplo, robots.txt)

  • Enumeración de nombre de usuario o dirección de correo electrónico

  • Atributos de autocompletar en formularios web

Problemas operativos:

  • Denegación de servicio contra cuentas de otros clientes

  • Ingeniería social de cualquier tipo contra otros clientes o personal de Level

  • Intentos de suplantación de identidad dirigida o contacto con soporte como parte de las pruebas

  • Intrusión física

  • Escaneo automatizado, bombardeo de correo, spam, fuerza bruta o ataques automatizados (por ejemplo, Burp Intruder)

  • Fuga, manipulación o destrucción de datos de usuario

Exclusiones específicas de DoS:

  • DoS a través de entradas malformadas o cargas de archivos diseñadas que generan errores 500

  • DoS a través de entradas de contraseña ilimitadas o muy grandes

  • DoS a través de falta de paginación o grandes cantidades de contenido generado por usuarios que ralentizan las respuestas

Factores Descalificadores

Los reportes se descalifican si:

  • Carecen de instrucciones de reproducción paso a paso

  • Involucran acceso a cuentas de otros clientes

  • Involucran ingeniería social del personal de Level o clientes

  • Utilizan herramientas de ataque automatizadas contra la infraestructura de Level

  • Resultan en fuga, modificación o destrucción de datos de usuario

Preguntas Frecuentes

  • ¿Dónde envío reportes de vulnerabilidad? Envíe un correo electrónico a [email protected] con pasos de reproducción completos y un escenario de impacto.

  • ¿Tienen un programa de recompensas por errores? No, no tenemos un programa de recompensas por errores. Contacte a [email protected] si tiene preguntas.

  • ¿Puedo probar contra cuentas de otros clientes? No. Las pruebas deben realizarse en sus propias cuentas de Level. El acceso a cuentas de otros clientes es un factor descalificador inmediato y puede tener consecuencias legales. Contáctenos si necesita un entorno de espacio aislado.

  • Mi reporte incluye salida de un escáner automatizado. ¿Funcionará? Solo si se acompaña de una explicación clara de la vulnerabilidad, pasos de reproducción y un escenario de ataque. La salida bruta del escáner por sí sola no será procesada.

  • ¿Con qué rapidez responderán? Los tiempos de respuesta no están garantizados. Contacte directamente a [email protected] si tiene una divulgación urgente.

Artículos relacionados
Primeros Pasos con Level
Proteger Level
¿Ha quedado contestada tu pregunta?