Saltar al contenido
Última actualización: 15 Jul 2026

Política de divulgación de vulnerabilidades

Valoramos el trabajo de la comunidad de seguridad. Esta política explica cómo comunicar una vulnerabilidad a Hellomatik, qué puedes esperar de nosotros y las reglas que protegen la investigación de buena fe.

1) Cómo reportar

Si crees que has encontrado una vulnerabilidad de seguridad en cualquier servicio de Hellomatik, escríbenos a administracion@hellomatik.com con una descripción clara. Los detalles legibles por máquina están en nuestro security.txt (RFC 9116).

  • Incluye la URL o endpoint afectado, los pasos para reproducirlo y el impacto que crees que tiene.
  • Adjunta material de prueba cuando ayude (peticiones, capturas, scripts mínimos).
  • Escribe en español o en inglés: llega al mismo equipo.

2) Qué puedes esperar de nosotros

  • Acusamos recibo en un plazo de 3 días laborables.
  • Te mantenemos al tanto del progreso y te avisamos cuando el problema esté corregido.
  • No emprenderemos acciones legales contra la investigación hecha de buena fe bajo esta política.
  • Con tu permiso, acreditamos tu hallazgo una vez resuelto.

3) Reglas del juego

Investigación de buena fe significa:

  • No accedas, modifiques ni borres datos que no sean tuyos. Si una prueba de concepto exige demostrar acceso, detente en la evidencia mínima necesaria.
  • No degrades el servicio: nada de pruebas de denegación de servicio, spam ni ingeniería social al equipo o a los clientes de Hellomatik.
  • No hagas público el problema antes de que confirmemos la corrección y acordemos contigo los tiempos.
  • Prueba solo contra sistemas operados por Hellomatik; las webs y sistemas propios de nuestros clientes quedan fuera del alcance.

4) Alcance

Dentro del alcance: hellomatik.com y los servicios de aplicación operados por Hellomatik. Fuera del alcance: hallazgos que requieran acceso físico, resultados de escáneres automáticos sin impacto demostrado, cabeceras de seguridad ausentes en páginas sin acciones sensibles, y vulnerabilidades de servicios de terceros que usamos — repórtalas al tercero y avísanos para hacer seguimiento.