Reportar problema de seguridad

Sección 01

Nuestro compromiso con la seguridad

WeblyChat se compromete a proteger la seguridad y privacidad de nuestros usuarios y sus datos. Damos la bienvenida a la investigación de seguridad responsable y creemos que colaborar con investigadores cualificados es una parte fundamental para mantener nuestra plataforma segura.

Si crees haber encontrado una vulnerabilidad de seguridad en WeblyChat, te animamos a comunicárnoslo para que podamos tomar medidas y corregirlo lo antes posible.

Por favor, no divulgues vulnerabilidades públicamente hasta que hayamos tenido la oportunidad razonable de investigar y publicar una corrección. Trabajaremos contigo para entender y resolver el problema con rapidez.

Sección 02

Alcance

Los siguientes activos están dentro del ámbito de la investigación de seguridad:

Dentro del alcance

weblychat.eu y todos sus subdominios
El portal de cuenta de WeblyChat
La API de WeblyChat
La interfaz del bot de Telegram
Flujos de autenticación y OAuth

Fuera del alcance

Servicios de terceros (Cloudflare, Telegram, Google)
Ataques de denegación de servicio
Ingeniería social dirigida al personal de WeblyChat
Seguridad física
Análisis automatizado sin aviso previo

Sección 03

Cómo reportar

Envía tu informe a security@weblychat.eu. Este buzón está supervisado por nuestro equipo de seguridad y es independiente del soporte general.

Si la vulnerabilidad es especialmente sensible, puedes cifrar tu informe con nuestra clave PGP — solicítala en la misma dirección y te la enviaremos a la mayor brevedad.

Sección 04

Qué incluir

Un informe de calidad nos ayuda a clasificar y resolver los problemas más rápido. Por favor, incluye:

Una descripción clara de la vulnerabilidad y su posible impacto
La URL, endpoint o componente afectado
Instrucciones de reproducción paso a paso
Capturas de pantalla, grabaciones de pantalla o código de prueba de concepto (si aplica)
Tu valoración de la gravedad (crítica / alta / media / baja)

Sección 05

Plazos de respuesta

Nuestros objetivos tras recibir un informe válido son:

Acuse de recibo: en un plazo de 2 días hábiles
Evaluación inicial: en un plazo de 5 días hábiles
Corrección de problemas críticos: en un plazo de 14 días
Corrección de problemas de menor gravedad: en un plazo de 90 días

Te mantendremos informado durante todo el proceso y te notificaremos cuando la corrección haya sido desplegada.

Sección 06

Nuestro compromiso contigo

Cuando reportas una vulnerabilidad de buena fe y sigues estas directrices, nos comprometemos a:

No emprender acciones legales contra ti relacionadas con la investigación
Trabajar contigo para entender y resolver el problema
Mantener tu informe confidencial, salvo que aceptes la divulgación pública
Mencionarte en nuestros reconocimientos de seguridad (si lo deseas)

Sección 07

Normas de actuación

Para acogerte al puerto seguro, tu investigación debe:

Afectar únicamente a tus propias cuentas de prueba — no accedas a datos de otros usuarios
Evitar acciones que degraden la disponibilidad del servicio (sin DoS)
No incluir ingeniería social, phishing ni ataques físicos
No exfiltrar, modificar ni destruir datos más allá de lo necesario para demostrar el problema
Comunicarse con nosotros antes de cualquier divulgación pública

Nos reservamos el derecho de determinar si una comunicación califica como investigación de buena fe. En caso de duda, consúltanos antes de proceder.