Preguntas frecuentes

¿Cómo empezar con Vulnscope?

1. Antes de crear un programa, te invitamos a registrar tu empresa.

La creación del perfil de tu empresa es rápida, y consiste en ingresar datos básicos tales como tu nombre, apellido, e-mail, contraseña y un nombre de usuario con contraseña de seguridad. Estos datos son confidenciales y reservados para el equipo Administrador de Vulnscope.

2. Una vez creado tu perfil, puedes empezar a crear tu primer programa..

¿Cómo crear un programa?

La creación de un programa implica la definición clara del alcance, de los targets y una descripción exhaustiva del proyecto, para evitar cualquier confusión y enfocar a los Security Researchers en un objetivo preciso. Esta parte requiere tiempo y concentración.

También, se definen las recompensas de los Security Researchers y los servicios adicionales solicitados.

Indicamos, por defecto, el monto mínimo de una recompensa. Puedes aumentar este valor para atraer a más Security Researchers.

¿Cuál es la diferencia entre un programa público y un programa privado?

Al momento de crear un programa, está por defecto ingresado como público. Un programa público está abierto a toda la comunidad de Security Researchers para aumentar los vectores de ataque y optimizar la cantidad de resultados obtenidos.
Un programa privado se basa en el performance y habilidades de un grupo de Security Researchers limitado, con el fin de mantener un control mayor sobre el alcance y los resultados encontrados.

¿Qué tipo de tecnología se puede revisar?

La comunidad de Security Researchers de Vulnscope puede revisar cualquier tipo de aplicación web, móvil, software o IoT (Internet de las cosas).

¿Cómo evalúan y reclutan a los Security Researchers?

Los Security Researchers son evaluados al momento de registrarse para comprobar la información proporcionada y analizar su autenticidad. El análisis del perfil del Security Researchers es un proceso largo, que ejecutamos con seriedad, para así asegurarnos de trabajar solamente con personas de confianza.
Una vez aceptados, los Security Researchers empiezan a participar en programas públicos, en los cuales pueden demostrar sus habilidades y experiencia. Los resultados de sus primeros programas les permiten establecer su nivel a través de un ranking. El posicionamiento en este ranking define su participación en programas privados.

¿En qué horario puedo lanzar un programa?

No hay un horario definido para lanzar un programa. Nuestros Security Researchers tienen horarios flexibles y, por consiguiente, pueden aceptar un programa a cualquier hora del día.

¿Aceptan programas continuos?

Sí, los programas continuos tienen una duración indefinida dependiendo de la necesidad y del presupuesto del cliente.

¿Cómo empezar?

1. Antes de empezar a reportar vulnerabilidades y ser recompensado por tu labor, te invitamos a registrarte en nuestra plataforma (Link página sign-up Security Researcher).
La creación de tu perfil consiste en ingresar datos generales tales como tu nombre, apellido, e-mail, cuenta Twitter, Linkedin y un nombre de usuario con contraseña de seguridad. Estos datos son reservados para el equipo Administrador de Vulnscope con el fin de verificar su autenticidad.

2. El registro de tu perfil genera la aceptación de nuestra Política de Divulgación y Términos y Condiciones de Vulnscope.

3. Una vez creado y aceptado tu perfil, te invitamos a completarlo con la información faltante para optimizar tu visibilidad. Los pagos se realizan con la condición de que hayas ingresado un documento de identidad.

¿Cómo accedo a un programa público?

1. En tu dashboard podrás acceder directamente a la lista de programas públicos.

2. Lee con mucha atención la descripción del programa que te interesa antes de aceptarlo. La revisión del ámbito, tipo de acceso, credenciales, exclusiones y recompensas del proyecto es fundamental.

¿Cómo accedo a un programa privado?

1. La invitación a programas privados se realiza mediante el envío de correos electrónicos en base a tu ranking y a tu perfil. Ingresa a tu perfil a partir del enlace, acepta el programa y empieza a hackear.

2. Lee con mucha atención la descripción del programa que te interesa antes de aceptarlo. La revisión del ámbito, tipo de acceso, credenciales, exclusiones y recompensas del proyecto es fundamental.

Importante: Gran parte de nuestros programas privados tienen un plazo determinado. Asegúrate de cumplir con el plazo especificado.

¿Cómo se reportan las vulnerabilidades?

1. Empieza a hackear y reportar vulnerabilidades llenando los campos proporcionados por la plataforma. Los reportes mejor evaluados son los que contienen una información detallada, concisa, ilustrada y basada en un error repetible.

2. Mantente disponible, ya que es probable que el equipo administrador del programa se contacte directamente contigo a través del chat de la plataforma o por correo electrónico para solicitar más detalles.

Si tengo una duda, ¿Con quién me puedo comunicar?

Si tienes preguntas al momento de iniciar o ejecutar un programa, puedes escribirnos: support@vulnscope.com

No dudes en enviarnos un correo para aportar con ideas de mejoras o sugerencias. Nos gusta recibir feedback de parte de la comunidad de Security Researchers.

¿Cómo se evalúan los reportes de seguridad?

Los reportes de seguridad están evaluados en base a varios criterios.

Ante todo, asegúrate de reportar información que no esté fuera del ámbito del programa. Para ello, es fundamental realizar una lectura profunda de las especificaciones del programa.

Los reportes de calidad se basan en una descripción clara de la vulnerabilidad, de su impacto, nivel de riesgo y una prueba de concepto pertinente. Toda la información que permite entender los distintos pasos del ataque y repetirlo serán positivamente valorizados.

¿Qué pasa después de entregar un reporte de seguridad?

El reporte será revisado y priorizado a la mayor brevedad por el equipo administrador del programa. Si tienes algunos comentarios sobre la vulnerabilidad reportada, el equipo se comunicará contigo para reforzar la calidad de la información proporcionada. Hacemos todo lo posible para que el tiempo de evaluación del reporte sea óptimo.

¿Cuáles son las condiciones de pago?

El pago del reporte está reservado para el primer Security Researcher que haya reportado una vulnerabilidad, que cumpla con la Política de Divulgación de Vulnscope y esté alineada con las especificaciones del cliente.

Para ser pagado, el reporte tiene que haber sido revisado y validado por el equipo administrador del programa.

> Los pagos se realizan a través de Paypal en base a las tarifas y a los niveles de criticidad definidos en el programa. Estas tarifas varían según el programa, por lo tanto, revisa con mucha atención esta categoría antes de aceptar un nuevo proyecto.

Asegúrate de que los datos de pago ingresados en tu perfil estén correctos.

El Security Researchers asume los impuestos de su país asociados a la recepción del pago, dependiendo de las reglas de éste.

¿Cuánto tiempo se demoran en recompensar un reporte?

Generalmente, el plazo para recibir el pago no supera 1 mes. Si se supera este plazo, por favor, contáctate con el equipo de Vulnscope para aclarar este punto.

¿Cómo evalúan mi performance?

Al margen de la recompensa financiera, tu performance evoluciona en base a un sistema de puntaje. Tu puntaje te permite acceder a un Ranking y aumentar tu visibilidad como Security Researcher.

¿Por qué se está atrasando la validación de mi reporte?

En ciertas ocasiones, el tiempo de validación puede ampliarse dependiendo del tamaño del proyecto. El equipo de Vulnscope hace todo lo posible para acelerar el proceso de revisión y aprobación de los reportes.

Si el tiempo de análisis de tu reporte supera los 10 días, no dudes en contactarte con nosotros: support@vulnscope.com

¿Cómo puedo ver el estado de avance de la evaluación del reporte y del pago?

Desde tu dashboard personal, puedes acceder a la categoría “Estadísticas”. En esta sección, podrás consultar el estado de tu pago (Recompensas por pagar o pagadas) y la actividad relacionada con los reportes a la espera de validación.

¿Cuál es la Política de Divulgación de Vulnscope?

Puedes conocer nuestra Política de Divulgación aquí: