Programa de Recompensas de Seguridad

Ninguna tecnología es perfecta. En Cryptohopper, nos tomamos muy en serio la seguridad de los fondos y los datos de nuestros usuarios, y valoramos a cada investigador que comparte ese compromiso. Agradecemos todos los informes procesables y solo otorgamos recompensas por hallazgos que tengan un impacto real y demostrable.

Nuestro compromiso con los investigadores

Queremos que la investigación en seguridad sea segura y valiosa. Si sigues las reglas de este programa, nos comprometemos a:

• oAcusar recibo de tu informe en un plazo de 5 días hábiles
• oMantenerte informado mientras clasificamos y trabajamos en una solución
• oNo emprender acciones civiles ni penales en tu contra por investigaciones de seguridad realizadas dentro del alcance de este programa
• oSolicitar 30 días antes de que divulgues públicamente un hallazgo, para darnos tiempo de corregirlo y proteger a nuestros usuarios

Te pedimos que nos des una oportunidad justa de responder antes de hacer algo público. Si no cumplimos con el plazo de 30 días sin una razón válida, trabajaremos contigo en un cronograma de divulgación coordinada.

Lo que queremos saber

Para poder optar a una recompensa, una presentación debe incluir una prueba de concepto funcional y una descripción clara de lo que un atacante podría hacer en la práctica. Priorizamos los hallazgos en estas áreas:

Compromiso del sistema

• oEjecución remota de código
• oInyección SQL
• oOtros tipos de inyección (NoSQL, comandos, inyección de plantillas) con un exploit funcional
• oEntidad externa XML (XXE)
• oServer-Side Request Forgery (SSRF)
• oAcceso/carga al bucket S3

Seguridad de la cuenta y de los datos

• oElusión de autenticación o acceso no autorizado a datos
• oReferencias directas inseguras a objetos (IDOR): acceder a los datos de otro usuario manipulando IDs
• oFallos en sesiones o tokens (fijación de sesión, tokens predecibles, uso indebido de JWT) que pueden provocar la toma de control de la cuenta
• oCross-Site Scripting (XSS) que puede robar sesiones o credenciales
• oExposición de datos sensibles: claves privadas, secretos de API o PII visibles en respuestas, paquetes de JS o registros

Impacto financiero

Fallos de lógica de negocio que permiten trading no autorizado, manipulación de órdenes o abuso de saldo

Criptografía

Vulnerabilidades de cifrado

Otros tipos de vulnerabilidades pueden calificar si puedes demostrar un impacto claro y real en los datos de los usuarios, los fondos o la integridad del sistema.

Activos dentro del alcance

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oAplicación iOS en Apple Store: cryptohopper-crypto-trading/id1463052050
• oAplicación de Android en Google Play Store: com.cryptohopper_mobile

Lo que no recompensamos

Lo siguiente está fuera de alcance. Los reportes en estas categorías no recibirán una recompensa y es posible que no reciban una respuesta detallada.

Calidad del informe

• oNo hay una prueba de concepto funcional; necesitamos poder reproducir el hallazgo
• oSalida únicamente de escáneres automatizados (Burp, Nessus, Nuclei, etc.) sin una prueba de concepto manual
• oInformes generados por IA o basados en plantillas que no reflejan investigación original y verificada
• oReportes duplicados: recompensamos el primer reporte que recibimos
• oSelf-XSS — solo afecta a la persona que lo reporta y no tiene impacto en otros usuarios
• oBibliotecas previamente conocidas como vulnerables sin un exploit funcional

Alcance y entorno

• oPruebas contra activos que no estén incluidos en el alcance (entornos de staging, sitios de socios, integraciones de terceros)
• oProblemas que requieren el compromiso previo del dispositivo o la cuenta del usuario, a menos que nuestro sistema sea el habilitador directo
• oProblemas en dispositivos con jailbreak o rooteados, o con configuraciones de cliente no estándar (proxies personalizados, aplicaciones modificadas), a menos que el impacto sea crítico y realista
• oVulnerabilidades en productos obsoletos o al final de su vida útil que ya no admitimos
• oVectores que requieren entornos sin parches (por ejemplo, con actualizaciones del sistema operativo faltantes) o versiones del navegador con más de 6 meses de antigüedad
• oAtaques que requieren MiTM o acceso físico al dispositivo

De bajo impacto y solo de mejores prácticas

• oClaves públicas de integraciones de terceros (por ejemplo, claves públicas de la API del exchange); estas no son secretas y no representan una vulnerabilidad
• oRedirecciones abiertas sin una cadena de ataque realista (sin robo de tokens, sin una ruta de phishing significativa)
• oClickjacking sin un escenario de ataque significativo
• oCSRF, incluyendo CSRF no autenticado/de inicio de sesión/cierre de sesión
• oEnumeración de usuarios
• oDivulgación de banners, versiones o trazas de pila sin un ataque posterior demostrado
• oDivulgación de dirección IP o de origen
• oFalta de limitación de tasa sin un escenario claro de abuso
• oFaltan buenas prácticas en SSL/TLS, DNS (DKIM/DMARC/SPF) o encabezados HTTP, a menos que puedas demostrar un impacto real
• oFalta de Subresource Integrity (SRI) sin evidencia de que el script pueda ser realmente manipulado
• oSuplantación de contenido o inyección de texto
• oInyección CSV sin un exploit funcional
• oCapacidad de crear cuentas o enviar correos electrónicos sin límites (sin abuso demostrado)
• oDivulgación de información no sensible (versiones de producto, rutas de archivos)
• oFiltración de tokens a terceros de confianza a través de HTTPS
• oNotificaciones faltantes para las acciones del usuario
• oDoS/DDoS

Conducta

• oPor favor, no vincules tu informe a exigencias de pago ni a amenazas de divulgación. Tratamos cada informe de manera justa y basamos las recompensas únicamente en el mérito técnico y el impacto. Los informes acompañados de exigencias o amenazas no serán elegibles para una recompensa.
• oInfracciones de las reglas del programa (acceso no autorizado a datos, divulgación pública antes de la corrección, etc.)

Cómo enviar el informe

Envía un correo electrónico a [email protected]. Confirmaremos la recepción de tu informe en un plazo de 5 días hábiles.

Qué sucede a continuación

1. Acuse de recibo: confirmamos la recepción en un plazo de 5 días hábiles
2. Priorización: nuestro equipo de seguridad revisa y reproduce el hallazgo
3. Solución: trabajamos en una resolución y te mantenemos informado
4. Recompensa: si corresponde, hablamos contigo y pagamos la recompensa
5. Divulgación: solicitamos 30 días antes de cualquier divulgación pública

Un buen informe facilita que nuestros ingenieros reproduzcan el problema y comprendan su impacto. Por favor, incluye:

1. Declaración de impacto: ¿qué puede hacer realmente un atacante? (por ejemplo, «Un atacante puede tomar el control de cualquier cuenta mediante…»)
2. Reproducción paso a paso: pasos exactos, solicitudes o un script mínimo
3. Prueba de concepto: un script funcional o una secuencia de solicitudes
4. URL afectada y parámetros: URL completa, filtros o campos involucrados
5. Capturas de pantalla o video (muy apreciado)
6. Tu dirección IP — se mantiene privada, se utiliza para correlacionarla con nuestros registros

Los reportes que sean vagos, no tengan un impacto claro o no puedan reproducirse no son elegibles para una recompensa y es posible que no reciban una respuesta detallada.

Reglas

Haz pruebas de forma responsable. Utiliza únicamente los métodos necesarios para encontrar o demostrar una vulnerabilidad.

• oRespeta la privacidad de otros usuarios: no accedas a datos más allá de lo estrictamente necesario para demostrar el problema
• oNo explotes vulnerabilidades para ningún propósito más allá de tu propia investigación
• oNo reveles vulnerabilidades públicamente ni a terceros dentro de los 30 días posteriores a tu informe; danos tiempo para solucionarlas antes de hacerlas públicas.
• oNo utilices ingeniería social para obtener acceso
• oNo instales puertas traseras, modifiques datos ni alteres el sistema de ninguna manera
• oNo utilices técnicas de fuerza bruta
• oNo realices pruebas de denegación de servicio
• oMantén el acceso solo para ti: no compartas el acceso al sistema con otras personas

Recompensas

Agradecemos todos los reportes procesables: cada envío genuino nos ayuda a proteger a nuestros usuarios. Sin embargo, las recompensas se reservan para hallazgos que tengan un impacto demostrable en el mundo real. El pago se basa en la gravedad, el impacto y la calidad del reporte; no existe un mínimo ni un máximo fijo.

No pagamos recompensas por problemas de bajo impacto, hallazgos teóricos sin un exploit funcional o informes automatizados o generados por IA.

Para ser elegible, debes residir en un país que no esté sujeto a sanciones aplicables (por ejemplo, Cuba, Irán, Corea del Norte, Sudán, Siria). Este es un programa discrecional: Cryptohopper se reserva el derecho de cancelarlo o negarse a pagar una recompensa en cualquier momento.

Algunas cosas que debes tener en cuenta:

• oCuando se produzcan duplicados, solo se recompensará el primer informe recibido
• oMúltiples vulnerabilidades originadas por una misma causa raíz se tratan como un solo hallazgo
• oLas recompensas pueden ser monetarias o en forma de una suscripción de Cryptohopper, a nuestra discreción
• oLas recompensas monetarias se pagan a través de PayPal (en todo el mundo) o transferencia bancaria (solo en la UE)