Ir al contenido principal

Reportar Vulnerabilidad de Seguridad

How to submit a vulnerability report to Level, including scope guidelines and what to include.

Introducción

Level realiza pruebas de penetración trimestrales y supervisa activamente las vulnerabilidades, pero el uso en el mundo real revela cosas que las pruebas automatizadas pasan por alto. Si encuentras un problema de seguridad, queremos saberlo.

Envía los informes a [email protected].

ℹ️ NOTA: Si estás creando una cuenta de prueba específicamente para investigación de vulnerabilidades, añade «Tester» a tu dirección de correo electrónico (p. ej., [email protected]) para que podamos filtrar esas cuentas de nuestras métricas.

Reportar Vulnerabilidad de Seguridad

Qué incluir en tu informe

Un informe útil se atiende más rápido. Incluye:

  • Una descripción clara y paso a paso de cómo reproducir la vulnerabilidad

  • El activo específico afectado (ver Activos en Alcance a continuación)

  • Un escenario de ataque que demuestre el impacto potencial

  • Capturas de pantalla, vídeo o código de prueba de concepto si corresponde

Los informes sin pasos de reproducción y un escenario de impacto no pueden ser procesados.

Activos en Alcance

Problemas dentro del alcance

Queremos informes sobre:

  • Autenticación y gestión de sesiones — flujos de inicio de sesión, manejo de sesiones, OAuth, recuperación de cuenta, políticas de contraseñas

  • Control de acceso — omisión de permisos, CSRF, acceso no autorizado entre cuentas

  • Vulnerabilidades de inyección — inyección SQL, XSS y otros ataques basados en entradas

  • Acceso a dispositivos entre clientes — cualquier vía que permita a un cliente acceder a los dispositivos gestionados de otro cliente

  • Vulnerabilidades a nivel de cuenta — carga de malware, inserción de URL de phishing, ataques RTLO/IDN homoglyph de usuarios no confiables en la misma cuenta

Las pruebas deben realizarse en tus propias cuentas de Level. Si necesitas un entorno de sandbox, contáctanos antes de realizar las pruebas.

Problemas fuera del alcance

Estos no serán aceptados. No envíes informes sobre:

Comportamientos que hemos evaluado y aceptado:

  • Limitación de velocidad (rate limiting)

  • Preocupaciones de mejores prácticas sin evidencia de una vulnerabilidad explotable

  • Sesiones que no se invalidan cuando se activa el 2FA

  • Vulnerabilidades que solo afectan a usuarios con navegadores desactualizados y sin parches

  • Condiciones de carrera sin impacto en la seguridad

  • CSRF en acciones sin impacto en la seguridad (inicio de sesión, cierre de sesión, páginas no autenticadas)

  • Riesgos teóricos sin una ruta de ataque demostrada

  • Resultados de escáneres automatizados sin explicación

Ruido de infraestructura / configuración:

  • Políticas de suplantación de correo electrónico / SPF / DKIM / DMARC

  • Inyección de hipervínculos en correos electrónicos

  • Cabeceras de seguridad faltantes a menos que estén vinculadas a una vulnerabilidad específica

  • Problemas de cifrado SSL/TLS sin una prueba de concepto funcional

  • Captura de banners y divulgación de versiones de software

  • Puertos abiertos sin una vulnerabilidad demostrada

  • DNSSEC / DANE

  • Cabeceras HSTS o CSP

  • Divulgación de archivos públicos conocidos (p. ej., robots.txt)

  • Enumeración de nombres de usuario o correos electrónicos

  • Atributos de autocompletar en formularios web

Problemas operativos:

  • Denegación de servicio contra las cuentas de otros clientes

  • Ingeniería social de cualquier tipo contra otros clientes o el personal de Level

  • Intentos de spearphishing o contacto con soporte como parte de las pruebas

  • Intrusión física

  • Escaneo automatizado, bombardeo de correos, spam, fuerza bruta o ataques automatizados (p. ej., Burp Intruder)

  • Filtrar, manipular o destruir datos de usuarios

Exclusiones específicas de DoS:

  • DoS mediante entradas malformadas o cargas de archivos manipuladas que desencadenan errores 500

  • DoS mediante entradas de contraseña ilimitadas o muy largas

  • DoS por falta de paginación o grandes cantidades de contenido generado por el usuario que ralentizan las respuestas

Descalificadores

Los informes quedan descalificados si:

  • Carecen de instrucciones de reproducción paso a paso

  • Implican acceder a las cuentas de otros clientes

  • Implican ingeniería social al personal de Level o a sus clientes

  • Utilizan herramientas de ataque automatizadas contra la infraestructura de Level

  • Resultan en la filtración, modificación o destrucción de datos de usuarios

Preguntas frecuentes

  • ¿Dónde envío los informes de vulnerabilidades? Envía un correo a [email protected] con los pasos completos de reproducción y un escenario de impacto.

  • ¿Tienen un programa de recompensas por errores (bug bounty)? No, no tenemos un programa de recompensas por errores. Contacta a [email protected] con tus preguntas.

  • ¿Puedo realizar pruebas en las cuentas de otros clientes? No. Las pruebas deben realizarse en tus propias cuentas de Level. Acceder a las cuentas de otros clientes es un descalificador inmediato y puede tener consecuencias legales. Contáctanos si necesitas un entorno de sandbox.

  • Mi informe incluye resultados de un escáner automatizado. ¿Será válido? Solo si va acompañado de una explicación clara de la vulnerabilidad, los pasos de reproducción y un escenario de ataque. Los resultados sin procesar de un escáner por sí solos no serán procesados.

  • ¿Con qué rapidez responderán? Los tiempos de respuesta no están garantizados. Contacta a [email protected] directamente si tienes una divulgación urgente.

Artículos relacionados
Protección de Level
Cumplimiento normativo / Certificaciones de Level
Cuentas Suspendidas
Enviar una Solicitud de Función
Preguntas sobre facturación y pagos
¿Ha quedado contestada tu pregunta?