ControlarGastos

Política de divulgación de vulnerabilidades

Si descubres una vulnerabilidad de seguridad en ControlarGastos te agradecemos que nos la comuniques de forma privada antes de hacerla pública. Esta página describe cómo hacerlo y qué puedes esperar de nuestra parte.

Última actualización:

1. Canal de reporte

Envía un correo a [email protected] con la descripción de la vulnerabilidad, los pasos para reproducirla, su impacto estimado y cualquier prueba de concepto que ayude a entenderla. El archivo /.well-known/security.txt declara este mismo canal en formato RFC 9116.

No utilices este canal para soporte general, dudas funcionales o reportes de bugs no relacionados con seguridad — para eso usa el formulario de contacto del Servicio.

2. Alcance

Aceptamos reportes sobre cualquier subdominio de controlargastos.es, la API del Servicio y los flujos de autenticación, autorización y datos del usuario. Como referencia (no exhaustiva), nos interesan especialmente:

  • Vulnerabilidades que permitan acceder a datos de otras personas usuarias (IDOR, fallos de autorización, leaks de información personal o financiera).
  • Bypass de autenticación, gestión de sesión o verificación de email.
  • XSS, CSRF, inyección SQL, SSRF, deserialización insegura, RCE.
  • Bypass de las cuotas y los límites de los planes (free / pro / premium).
  • Exposición de credenciales, tokens, claves o cualquier secreto operativo.
  • Problemas en el flujo de invitación a grupos o de gestión de deudas que permitan manipular datos de terceros.

3. Fuera de alcance

No consideramos vulnerabilidad, salvo que aportes una prueba de concepto con impacto real, los siguientes hallazgos:

  • Recomendaciones genéricas de hardening de cabeceras HTTP (CSP, HSTS, COOP, COEP) sin un escenario explotable demostrado.
  • Falta de DNSSEC, DMARC p=quarantine/reject o configuraciones similares de email cuando no derivan en un compromiso concreto.
  • Bugs de UI o usabilidad que no afectan a la confidencialidad, integridad o disponibilidad.
  • Resultados automáticos de escáneres sin análisis manual ni explotación demostrada.
  • Problemas que requieran acceso físico al dispositivo de la víctima, ingeniería social fuera del Servicio o malware preinstalado.
  • Ataques que dependan de versiones obsoletas del navegador o sistema operativo del usuario.
  • Reportes sobre servicios de terceros (Cloudflare, proveedor de hosting, OpenRouter, etc.); por favor, dirígelos al programa correspondiente.
  • Pruebas que degraden el Servicio (denegación de servicio, fuzzing agresivo, envíos masivos).

4. Tiempos de respuesta

Como proyecto en sus primeras fases gestionado por un equipo reducido, nuestros compromisos son los siguientes:

  • Acuse de recibo: en un plazo máximo de 72 horas.
  • Triaje y confirmación: en un plazo máximo de 7 días naturales desde el acuse.
  • Resolución: en función de la severidad. Las vulnerabilidades críticas o de alto impacto se priorizan inmediatamente; el resto se planifican dentro del flujo normal de releases.

Te mantendremos informado del estado del reporte hasta su cierre.

5. Compromiso por nuestra parte

Si actúas de buena fe, dentro del alcance de esta política y respetando las reglas de divulgación responsable, ControlarGastos:

  • No emprenderá acciones legales contra ti por los hallazgos comunicados.
  • Trabajará contigo para entender y reproducir el problema.
  • Te notificará cuando el fix esté desplegado.
  • Si lo deseas y el reporte resulta válido, podemos reconocerte públicamente como descubridor en una página de agradecimientos. No es un programa de bug bounty económico: el proyecto está en fase de lanzamiento y aún no dispone de presupuesto para recompensas.

6. Reglas de divulgación responsable

Para que podamos colaborar contigo, te pedimos que:

  • No accedas, modifiques ni destruyas datos de otras personas usuarias más allá del mínimo imprescindible para demostrar el problema. Si encuentras información personal de terceros, detente y avísanos.
  • No degrades intencionadamente el Servicio (ataques de denegación, escaneos masivos, automatizaciones agresivas).
  • No publiques los detalles de la vulnerabilidad hasta que esté resuelta y de común acuerdo con nosotros.
  • Utilices únicamente cuentas de prueba propias para reproducir el problema.
  • Cumplas la legislación aplicable en todo momento.

El incumplimiento reiterado de estas reglas excluye al reporte del marco de divulgación responsable y puede dar lugar a las acciones que correspondan.

7. Tratamiento de datos personales en el reporte

Cuando nos escribes a la dirección de seguridad procesamos tu correo electrónico y el contenido del mensaje con la única finalidad de gestionar el reporte. La base jurídica es el interés legítimo en proteger el Servicio y a quienes lo utilizan. Conservaremos la comunicación durante el tiempo necesario para resolver el caso y los plazos de prescripción aplicables. Más detalles en la Política de Privacidad.