Servidores dedicados europeos con facturación mensual y sin cuota de instalación Protección DDoS L3/L4 incluida Soporte técnico atendido por personas 24/7/365
Looking Glass Contacto
Seguridad

Divulgación responsable para los servicios de DediStart.

Esta política explica cómo reportar una vulnerabilidad, qué pruebas están fuera del alcance y qué información ayuda al equipo a revisar un informe rápidamente.

Reportar un problema de seguridad Contactar con el equipo
Resumen de divulgación
Los informes únicos y bien documentados pueden ser revisados para una recompensa discrecional.

El objetivo es la divulgación segura y responsable. Cualquier decisión de recompensa sigue siendo opcional, depende de la validación interna y está reservada para informes válidos.

Contenido
Detalles de reporte
  • Última actualización 17 Mar 2026
  • Correo electrónico de reporte [email protected]
  • Modelo de respuesta Revisado caso por caso
  • Modelo de recompensa Discrecional para informes válidos
Divulgación primero: DediStart da la bienvenida al reporte responsable de problemas de seguridad creíbles. Los investigadores que siguen esta política ayudan al equipo a investigar de forma segura y proteger a los clientes sin interrupciones innecesarias del servicio.

Descripción general

Ningún sistema de producción es perfecto, y la revisión de seguridad por investigadores experimentados puede ser valiosa cuando se lleva a cabo de forma responsable. Si cree haber identificado una vulnerabilidad que afecta a un producto, servicio o sitio web de DediStart, repórtela a través del canal publicado a continuación.

El programa se centra en la divulgación responsable, no en la competencia pública. Los informes válidos pueden ser considerados para una recompensa discrecional después de la validación interna, la revisión de la gravedad y la comprobación de duplicados.

Expectativas de reporte seguro

  • Reporte el problema lo antes posible tras el descubrimiento y proporcione suficiente detalle para que el equipo pueda reproducir el hallazgo.
  • Permita un tiempo razonable para la investigación y la remediación antes de divulgar el problema públicamente o a terceros.
  • No use suplantación de identidad, ingeniería social, phishing u otros métodos de contacto engañosos durante las pruebas o el reporte.
  • Use solo cuentas que haya creado usted mismo y no acceda, modifique ni destruya datos pertenecientes a otros usuarios.
  • Evite métodos de prueba que interrumpan la disponibilidad, degraden el servicio para otros o creen riesgos operativos innecesarios.
  • Mantenga el informe confidencial mientras el problema está bajo revisión. La información personal proporcionada con el informe no se compartirá sin consentimiento a menos que la divulgación sea requerida por ley.
  • Si sigue estas expectativas y las demás condiciones de esta política, Redcluster LTD no tiene intención de emprender acciones legales en relación con el propio informe.

Elegibilidad

Un informe puede ser considerado para revisión bajo este programa cuando se cumplen todas las condiciones siguientes:

  1. Es el primer reportador del problema.
  2. Sigue las expectativas de reporte seguro descritas en esta política.
  3. No divulga públicamente el problema antes de que Redcluster LTD haya tenido una oportunidad razonable de investigar y responder.
  4. Proporciona una explicación clara del impacto junto con pasos reproducibles o una prueba de concepto funcional.
  5. Usa solo sus propias cuentas y no intenta acceder a datos que no le pertenecen.
  6. No está ubicado en, ni sujeto de otro modo a, restricciones de sanciones que impedirían a Redcluster LTD participar en el programa.
Nota sobre recompensas: Incluso cuando un informe es válido, cualquier recompensa sigue siendo discrecional y se basa en la evaluación interna del impacto, la originalidad, la calidad del informe y la adecuación general al programa.

Hallazgos fuera del alcance

Las categorías a continuación están generalmente fuera del alcance y pueden no recibir una respuesta individual cuando no demuestran un impacto de seguridad significativo y explotable.

Ataques sociales y físicos

  • Ingeniería social, phishing, suplantación de identidad u otros intentos de manipular al personal o a terceros.
  • Cualquier intento físico contra la propiedad de la empresa, la infraestructura o las instalaciones del centro de datos.

Disponibilidad y pruebas abusivas

  • Actividad de denegación de servicio, fuerza bruta, pruebas de estrés o cualquier prueba que pueda degradar la disponibilidad del servicio.
  • Informes generados únicamente por herramientas automatizadas o escaneos amplios sin un impacto demostrado específico del servicio.
  • Límites de velocidad faltantes reportados sin una ruta de explotación práctica.

Hallazgos web de baja señal

  • CSRF, self-XSS, problemas solo de clickjacking, suplantación de contenido en páginas de error, ataques homógrafos, redirecciones abiertas, observaciones de CAPTCHA débil y problemas relacionados con la caché.

Cabeceras, configuración e informes solo de exposición

  • Indicadores de cookies faltantes, cabeceras de seguridad faltantes sin impacto demostrado, falta de noreferrer o noopener, observaciones de DKIM/SPF/DMARC, exposición de versión, listado de directorios, observaciones de SSL, OPTIONS habilitado o divulgación de IP del servidor.

Casos extremos de cuenta y dispositivo local

  • Tiempos de espera de sesión de autenticación, reutilización de TOTP 2FA, preocupaciones sobre políticas de contraseñas, detalles de verificación de cambio de correo electrónico, observaciones del flujo de activación de 2FA o problemas que requieren acceso al dispositivo del propio usuario.
  • Afirmaciones de enumeración de usuarios que dependen del comportamiento de fuerza bruta en lugar de una debilidad práctica de la aplicación.

Software de terceros y sistemas externos

  • Errores en software de terceros, vulnerabilidades de WordPress, vulnerabilidades del navegador o manipulación de parámetros del procesador de pagos fuera de la superficie directa de la aplicación DediStart.
Nota de revisión: Los informes que solo cubren categorías excluidas pueden cerrarse sin una respuesta detallada porque no se ajustan al alcance del programa.

Qué incluir en un informe

Un informe útil generalmente incluye:

  • El nombre de host, URL, servicio o flujo de usuario afectado.
  • Pasos de reproducción claros, incluyendo el estado de cuenta requerido, el tiempo o los detalles del entorno.
  • El impacto observado y la consecuencia de seguridad que cree que se deriva del problema.
  • Una prueba de concepto, capturas de pantalla, muestras de solicitudes o registros que ayuden al equipo a validar el informe sin repetir pruebas excesivas.
  • Sus datos de contacto preferidos en caso de que se necesite aclaración de seguimiento.

Canal de reporte

Envíe los hallazgos iniciales al canal de abuso y seguridad a continuación. Si el problema es aceptado para revisión, la comunicación de seguimiento puede continuar a través de ese hilo.

Correo electrónico de reporte de seguridad

[email protected]

Contacto general del sitio

Use la página de contacto para preguntas operativas no relacionadas con la seguridad.