Saltar al contenido
Drokio — guardián digitalDROKIO
Seguridad

Política de Divulgación de Vulnerabilidades

Valoramos el trabajo de la comunidad de seguridad. Si descubriste una posible vulnerabilidad en los sistemas de Drokio, esta política explica cómo reportarla de forma responsable, qué está dentro y fuera de alcance, y qué puedes esperar de nosotros — sin promesas que no podamos cumplir.

Versión 1.0 · Última actualización: 7 de junio de 2026

Cómo reportar

Envía tu reporte por correo a security@drokio.com. Los detalles de contacto legibles por máquina están publicados en nuestro archivo security.txt (RFC 9116).

Para ayudarnos a reproducir y priorizar, por favor incluye:

  • Una descripción clara del problema y su impacto potencial.
  • Pasos de reproducción detallados (URL, parámetros, prueba de concepto mínima).
  • El componente, dominio o endpoint afectado y la fecha/hora aproximada de tus pruebas.
  • Cualquier registro, captura o respuesta que respalde el hallazgo.

Si necesitas enviar información sensible y prefieres cifrado, indícalo en tu primer correo y coordinaremos un canal seguro.

Alcance

Están dentro de alcance los activos operados por Drokio:

  • El sitio y la aplicación web en drokio.com y sus subdominios operados por Drokio.
  • Las APIs públicas de Drokio servidas desde esos dominios.
  • Vulnerabilidades de seguridad demostrables: por ejemplo inyección, control de acceso roto, exposición de datos, SSRF, o errores de autenticación/autorización.

Fuera de alcance

Lo siguiente está fuera de alcance y normalmente no será aceptado:

  • Servicios de terceros que no son operados por Drokio (por ejemplo nuestro proveedor de hosting, CDN o pasarela de pagos). Repórtalos directamente a ese proveedor.
  • Ataques de denegación de servicio (DoS/DDoS), pruebas de carga o de volumen, y fuerza bruta.
  • Ingeniería social, phishing a empleados o clientes, y acceso físico.
  • Reportes generados únicamente por escáneres automáticos sin un impacto demostrado.
  • Ausencia de cabeceras o "mejores prácticas" sin un vector de explotación concreto (p. ej. banner de versión, SPF/DMARC informativo, autocompletar de formularios).
  • Acceder, modificar o destruir datos que no te pertenezcan, o degradar el servicio para otros usuarios.

Puerto seguro (safe harbor)

Consideramos la investigación de seguridad realizada de buena fe y conforme a esta política como una actividad autorizada. Si cumples con esta política, no iniciaremos acciones legales en tu contra por tu investigación y trabajaremos contigo para entender y resolver el problema con rapidez.

Para mantenerte dentro del puerto seguro:

  • Actúa de buena fe; no causes daño a Drokio, sus usuarios ni a terceros.
  • Usa solo cuentas de prueba propias; no accedas, modifiques ni exfiltres datos de otras personas.
  • Detente apenas confirmes una vulnerabilidad y repórtala; no la explotes más allá de lo necesario para demostrarla.
  • No divulgues públicamente el hallazgo hasta que lo hayamos resuelto y lo hayamos coordinado contigo.

Esta política es una declaración de buena fe de parte de Drokio y no constituye un acuerdo legal vinculante ni renuncia a derechos de terceros. Ante la duda sobre si una acción está autorizada, escríbenos primero a security@drokio.com.

Qué ofrecemos

Seamos honestos sobre lo que podemos ofrecer hoy. Drokio es una startup en etapa beta y no contamos con un programa de recompensas monetarias en este momento.

  • Un acuse de recibo de tu reporte y comunicación directa con una persona del equipo.
  • Nuestro agradecimiento sincero y, si lo deseas, crédito público (reconocimiento opcional) una vez resuelto el problema.
  • Transparencia sobre nuestra evaluación y el estado de la corrección.

Si en el futuro lanzamos un programa de recompensas, lo anunciaremos públicamente y actualizaremos esta página. Hasta entonces, no prometemos pagos.

Tiempos de respuesta esperados

Estos son objetivos de mejor esfuerzo, no garantías contractuales:

  • Acuse de recibo: dentro de 3 días hábiles desde tu reporte.
  • Evaluación inicial: una valoración de validez y severidad dentro de 10 días hábiles.
  • Resolución: trabajaremos para corregir los problemas válidos según su severidad y te mantendremos al tanto. No fijamos un plazo de corrección garantizado.

Preferimos la divulgación coordinada: acordaremos contigo un momento razonable para hacer público el hallazgo una vez resuelto.

¿Buscas información general sobre nuestras prácticas de seguridad? Visita nuestra página de Seguridad.