Política de Seguridad

Última actualización: 1 de abril de 2026

Quiénes Somos

Reportar una Vulnerabilidad

Nos tomamos muy en serio la seguridad de nuestro sitio web. Si crees que has encontrado una vulnerabilidad de seguridad, por favor repórtala como se describe a continuación.

Por favor, no reportes vulnerabilidades de seguridad a través de issues públicos de GitHub, discusiones o pull requests.

En su lugar, repórtalas por correo electrónico a [email protected].

Por favor incluye la siguiente información en tu reporte:

  • Tipo de problema (por ejemplo, desbordamiento de búfer, inyección SQL, cross-site scripting, etc.)
  • Rutas completas de los archivos fuente relacionados con la manifestación del problema
  • La ubicación del código fuente afectado (tag/branch/commit o URL directa)
  • Cualquier configuración especial necesaria para reproducir el problema
  • Instrucciones paso a paso para reproducir el problema
  • Código de prueba de concepto o exploit (si es posible)
  • Impacto del problema, incluyendo cómo un atacante podría explotarlo

Cifrado

Para comunicaciones sensibles, soportamos cifrado PGP. Nuestra clave pública está disponible en https://jokinglybad.tech/pgp-key.txt.

Detalles de la Clave:

  • Correo Electrónico: [email protected]
  • Tipo: RSA
  • Tamaño: 4096 bits
  • Creada: 2025-05-17
  • Huella digital: (ver pasos de verificación a continuación)

Para cifrar tu mensaje:

  1. Descarga nuestra clave pública
  2. Impórtala en tu cliente PGP
  3. Cifra tu mensaje usando la clave
  4. Envía el mensaje cifrado a [email protected]

Verificación de nuestra clave: Después de descargar nuestra clave, puedes verificar su autenticidad ejecutando gpg --show-keys pgp-key.txt y confirmando que la huella digital coincide con la publicada en nuestro perfil de GitHub y listada anteriormente.

Alcance

Esta política de seguridad aplica a los siguientes sistemas y servicios:

  • codybrunner.com
  • Todos los subdominios asociados
  • Todas las APIs y servicios asociados

Fuera de Alcance

Los siguientes elementos se consideran fuera del alcance de esta política:

  • Servicios de terceros — Las vulnerabilidades en servicios que utilizamos pero no controlamos (por ejemplo, Umami) deben reportarse directamente a esos proveedores
  • Hallazgos de escáneres automatizados sin impacto demostrado y verificado
  • Problemas en dependencias upstream ya cubiertos por avisos públicos (por ejemplo, CVEs)
  • Clickjacking en páginas sin acciones que cambien el estado
  • Encabezados de seguridad faltantes sin explotabilidad demostrada
  • Mejores prácticas faltantes que no conduzcan directamente a una vulnerabilidad
  • Denegación de servicio (DoS/DDoS) — No realices pruebas ni intentes ataques de denegación de servicio
  • Ingeniería social o phishing contra empleados, contratistas o usuarios

Directrices para Investigadores

Para estar cubierto por nuestro compromiso de puerto seguro (ver Consideraciones Legales a continuación), los investigadores de seguridad deben seguir las siguientes reglas de participación:

  1. No accedas, modifiques ni elimines datos pertenecientes a otros usuarios. Si encuentras datos de otro usuario durante las pruebas, detente inmediatamente y reporta el problema
  2. No degrades la disponibilidad del servicio. Evita acciones que puedan interrumpir el sitio para otros usuarios, incluyendo pruebas de denegación de servicio, ataques de fuerza bruta o escaneo automatizado excesivo
  3. No utilices ingeniería social, phishing o ataques físicos contra nuestros empleados, contratistas o usuarios
  4. Reporta las vulnerabilidades con prontitud. Si descubres una vulnerabilidad, repórtala tan pronto como sea razonablemente posible
  5. No divulgues públicamente la vulnerabilidad hasta que hayamos tenido una oportunidad razonable de abordarla (ver Divulgación Coordinada a continuación)
  6. Cumple con todas las leyes aplicables. La investigación de seguridad de buena fe realizada de acuerdo con esta política está autorizada, pero esta política no anula ninguna ley o regulación aplicable

Qué Esperar

Cuando elijas compartir tu información de contacto con nosotros, nos comprometemos a coordinarnos contigo de la manera más abierta y rápida posible.

Dentro de 48 horas, haremos esfuerzos razonables para proporcionar:

  • Una confirmación de tu reporte
  • Una evaluación inicial del reporte
  • Un plazo estimado para cualquier corrección necesaria

Estos plazos son compromisos de mejor esfuerzo. Durante días festivos, fines de semana o períodos de alto volumen, los tiempos de respuesta pueden ser más largos.

Divulgación Coordinada

Seguimos un modelo de divulgación coordinada. Pedimos que los investigadores nos den un mínimo de 90 días desde la confirmación inicial de un reporte para abordar la vulnerabilidad antes de realizar cualquier divulgación pública.

Si no podemos resolver el problema dentro de 90 días, trabajaremos con el reportante para acordar un plazo de divulgación apropiado.

Podemos solicitar una extensión para problemas particularmente complejos. Siempre comunicaremos abiertamente sobre nuestro progreso y cualquier retraso.

Reconocimiento

Creemos en reconocer las valiosas contribuciones de los investigadores de seguridad. Si eres el primero en reportar una vulnerabilidad única, y realizamos un cambio de código o configuración basado en el reporte, haremos lo siguiente:

  1. Darte crédito público por el descubrimiento (con tu permiso)
  2. Reconocer tu contribución en nuestro sitio web (con tu permiso)

Este programa no ofrece compensación monetaria. Somos una operación pequeña y actualmente no contamos con un programa de recompensas por errores pagado. Apreciamos la buena voluntad de la comunidad de seguridad y siempre daremos crédito a los investigadores que nos ayuden a mejorar.

Consideraciones Legales

Puerto Seguro

JokinglyBadTech LLC considera que la investigación de seguridad realizada de acuerdo con esta política es:

  • Autorizada con respecto a la Ley de Fraude y Abuso Informático (CFAA), y no iniciaremos ni apoyaremos acciones legales contra investigadores por violaciones accidentales y de buena fe de esta política
  • Exenta de la Ley de Derechos de Autor del Milenio Digital (DMCA), y no presentaremos reclamaciones contra investigadores por eludir controles de seguridad
  • Legal, útil y realizada en el interés público

No buscaremos acciones legales civiles o penales, ni apoyaremos acciones de las fuerzas del orden, contra investigadores que:

  • Actúen de buena fe y de acuerdo con esta política
  • Sigan las Directrices para Investigadores descritas anteriormente
  • Reporten vulnerabilidades con prontitud y eviten la explotación más allá de lo necesario para demostrar el problema
  • No accedan, modifiquen o exfiltren intencionalmente datos pertenecientes a otros
  • No causen daño a sabiendas a la disponibilidad de nuestros servicios

Este puerto seguro se aplica a reclamaciones legales bajo nuestro control (como reclamaciones bajo CFAA y DMCA), y no vincula a terceros independientes.

Si en algún momento no estás seguro de si tu conducta cumple con esta política, por favor contáctanos en [email protected] antes de proceder.

Buena Fe

Un investigador de seguridad está actuando de “buena fe” cuando:

  • Hace un esfuerzo genuino para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupción de sistemas de producción y destrucción de datos
  • Solo explota una vulnerabilidad en la medida necesaria para confirmar su existencia
  • No utiliza una vulnerabilidad para acceder, descargar o copiar datos más allá de lo necesario para demostrar el problema
  • Cesa las pruebas y envía un reporte una vez que se confirma una vulnerabilidad

Prácticas de Seguridad

Protección de Datos

  • Este sitio minimiza la recopilación de datos personales — consulta nuestra Política de Privacidad para más detalles
  • No se utilizan cookies para rastreo
  • Todo el tráfico se sirve a través de HTTPS

Infraestructura

  • Alojado en Fly.io con TLS automático
  • Actualizaciones de seguridad regulares aplicadas

Servicios de Terceros

  • Analíticas: Umami (enfocado en privacidad, compatible con GDPR)

security.txt

Mantenemos un archivo security.txt en cumplimiento con RFC 9116.

Limitación de Responsabilidad

Esta política de seguridad se proporciona como una guía y no crea ninguna obligación contractual, garantía ni compromiso vinculante. Los plazos de respuesta, el reconocimiento y otros compromisos descritos en esta política son de mejor esfuerzo y pueden variar según las circunstancias. JokinglyBadTech LLC se reserva el derecho de tomar determinaciones sobre buena fe y cumplimiento de la política caso por caso.

Actualizaciones de esta Política

Podemos actualizar esta política de seguridad de vez en cuando. La versión más reciente siempre estará disponible en codybrunner.com/es/politica-de-seguridad.