Política de divulgación responsable

Cómo reportar vulnerabilidades de seguridad a RocketShare

Nos tomamos en serio la seguridad de RocketShare y los datos de nuestros usuarios. Si descubre una vulnerabilidad de seguridad, apreciamos su ayuda para divulgarla de manera responsable.

Alcance

Los siguientes elementos están dentro del alcance de esta política:

  • rocketshare.app — la aplicación web principal
  • Endpoints de API bajo rocketshare.app
  • La implementación de cifrado del lado del cliente
  • Autenticación y gestión de sesiones
  • Control de acceso y lógica de autorización

Cómo reportar

Envíe sus hallazgos a través de nuestro formulario de contacto con el asunto "Informe de vulnerabilidad de seguridad". Por favor, incluya:

  • Una descripción clara de la vulnerabilidad
  • Pasos para reproducir el problema
  • El impacto potencial según su comprensión
  • Cualquier código de prueba de concepto o capturas de pantalla (si corresponde)
  • Su información de contacto para preguntas de seguimiento

Lo que pedimos

  • No divulgue públicamente la vulnerabilidad hasta que hayamos tenido una oportunidad razonable de abordarla
  • No acceda, modifique ni elimine datos de otros usuarios durante su investigación
  • No realice ataques de denegación de servicio ni pruebas que degraden el servicio para otros usuarios
  • No use herramientas de escaneo automatizadas a gran escala contra sistemas de producción — pruebe manualmente o use una cuenta de prueba personal
  • Actúe de buena fe — haga un esfuerzo genuino para evitar violaciones de privacidad e interrupciones

Lo que prometemos

  • Acuse de recibo en 48 horas — confirmaremos la recepción de su informe dentro de 2 días hábiles
  • Actualizaciones periódicas — le mantendremos informado de nuestro progreso mientras investigamos y corregimos el problema
  • Plazo de corrección razonable — nuestro objetivo es resolver vulnerabilidades confirmadas dentro de 90 días, dependiendo de la complejidad
  • Reconocimiento — con su permiso, le acreditaremos como informante cuando divulguemos la corrección
  • Sin acciones legales — no emprenderemos acciones legales contra investigadores que sigan esta política de buena fe

Sin recompensas financieras

En este momento, no ofrecemos recompensas financieras (bug bounties) por informes de vulnerabilidades. Sí ofrecemos reconocimiento público y nuestro sincero agradecimiento por ayudar a mantener RocketShare seguro.

Fuera del alcance

Los siguientes elementos no se consideran vulnerabilidades bajo esta política:

  • Ingeniería social — ataques de phishing o pretexting contra nuestro equipo o usuarios
  • Denegación de servicio (DoS/DDoS) — ataques volumétricos o agotamiento de recursos
  • Servicios de terceros — vulnerabilidades en servicios que usamos pero no controlamos (p. ej., Cloudflare, procesadores de pago)
  • Self-XSS — problemas que requieren que la víctima pegue código en la consola de su navegador
  • Encabezados de seguridad faltantes en páginas no sensibles — a menos que conduzcan a un exploit demostrable
  • Limitación de tasa — ausencia de limitación de tasa en endpoints no críticos
  • Divulgación de versión de software — información de versión de servidor o framework en encabezados o respuestas
  • Suplantación de contenido — sin un impacto de seguridad demostrado

Esta política es efectiva desde febrero de 2026. Para preguntas sobre esta política, contáctenos.