Saltar al contenido principal
Piloterr

Seguridad

Programa de Recompensas por Errores. Encuentra vulnerabilidades, obtén recompensas.

Ayúdanos a mejorar nuestra seguridad y gana recompensas. Invitamos a investigadores de seguridad a probar nuestros sistemas de manera responsable. Si encuentras una vulnerabilidad, te pagaremos por reportarla.

Reglas

Reglas básicas

  • Prueba con cuidado: no interrumpas nuestros servicios ni uses herramientas de escaneo automatizado.
  • Usa solo tu propia cuenta de prueba. Nunca intentes acceder a las cuentas de otros usuarios.
  • Notifícanos de inmediato si obtienes acceso a nuestros sistemas internos.
  • Mantén tus hallazgos confidenciales hasta que resolvamos el problema.
  • Solo la primera persona en reportar una vulnerabilidad específica recibe la recompensa.

Alcance

Qué buscamos

Recompensamos descubrimientos que representen riesgos reales de seguridad. Las recompensas son mayores para problemas críticos:

  • Acceso no autorizado a los datos de otros usuarios (simplemente confirmar la existencia de una cuenta no cuenta).
  • Elusión de controles de seguridad de la API (ej., bypass de límite de tasa, bypass de autenticación).
  • Vulnerabilidades de Cross-site scripting (XSS).
  • Ejecución remota de código en nuestros servidores.
  • Inyección SQL u otros ataques de inyección.
  • Fallos en la autenticación o gestión de sesiones.

Solo recompensamos vulnerabilidades de seguridad que puedan dañar a los usuarios o sus datos, no errores cosméticos o funciones rotas.

Exclusiones

Qué no pagamos

  • Ataques de denegación de servicio (DoS/DDoS) o intentos de fuerza bruta.
  • Problemas de contenido mixto o configuración SSL.
  • Ataques de ingeniería social o phishing.
  • Vulnerabilidades teóricas sin una prueba de concepto funcional.
  • Falta de encabezados de seguridad o configuraciones estándar de endurecimiento (ej., política de contraseñas, verificación de correo).
  • Vulnerabilidades en servicios o dependencias de terceros fuera de nuestro control.

Recompensas

Cómo pagamos

Cuanto más crítica sea la vulnerabilidad, mayor será la recompensa. No hay un límite fijo. Si encuentras algo particularmente serio o ingenioso, te recompensaremos en consecuencia. Los montos se determinan según el impacto potencial de la vulnerabilidad. Los pagos se realizan en USD a través de PayPal una vez que la vulnerabilidad haya sido verificada y resuelta. Se aplican las tarifas estándar de PayPal.

Reporte

Cómo reportar

  1. 01

    Enviar

    Envía tu reporte en webapi.group/bug-bounty con una descripción detallada y prueba de concepto.

  2. 02

    Revisión

    Nuestro equipo de seguridad revisará tu reporte y responderá en un plazo de 7 días hábiles.

  3. 03

    Resolución

    Trabajamos en una solución. Podemos contactarte para obtener más detalles.

  4. 04

    Recompensa

    Una vez verificada y resuelta la vulnerabilidad, procesamos tu recompensa en USD a través de PayPal.

Reportar una vulnerabilidad

Los reportes de vulnerabilidades se envían en la página de recompensas por errores del grupo WebAPI. Ve a webapi.group/bug-bounty para presentar tu reporte con el mayor detalle posible, incluyendo pasos para reproducirla, evaluación de impacto y cualquier prueba de concepto.

¿Listo para empezar?

Tu API de web scraping está a un clic. Comienza con +500 créditos, sin infraestructura que configurar, sin proxies que gestionar y sin necesidad de tarjeta de crédito.

  • +500 créditos
  • Sin tarjeta de crédito
  • Todos los endpoints incluidos