Política de Divulgación de Vulnerabilidades — ScamLens
Última actualización: 2026-04-16
Alcance
Esta política cubre la investigación de seguridad realizada sobre activos bajo:
*.scamlens.org- Extensión ScamLens para Chrome (ID de Chrome Web Store: OrangeDuck)
- API pública de ScamLens (
api.scamlens.org)
Los servicios de terceros (Stripe, Google Auth, Cloudflare, Brevo, Resend) están fuera de alcance — repórtelos directamente a esos proveedores.
Puerto seguro
No emprenderemos acciones legales contra investigadores que:
- Actúen de buena fe y cumplan esta política
- No accedan, modifiquen o exfiltren datos más allá de lo necesario para demostrar la vulnerabilidad
- No interrumpan servicios ni degraden la experiencia del usuario
- Reporten con prontitud y mantengan la confidencialidad hasta la remediación
Fuera de alcance
- Denegación de servicio / pruebas de carga contra producción
- Ingeniería social al personal o a los usuarios
- Ataques físicos
- Reportes de escáneres automatizados sin impacto confirmado
- Self-XSS y clickjacking en páginas sin estado sensible
- Falta de cabeceras de mejores prácticas en activos estáticos (ya rastreado internamente)
Cómo reportar
Envíe un correo a security@scamlens.org con:
- Título y activo afectado
- Pasos para reproducir (claros, mínimos)
- Análisis de impacto (qué podría lograr un atacante)
- Remediación sugerida (opcional)
Acusamos recibo en 48 horas. Objetivos de remediación: Crítica 7 días, Alta 14 días, Media 30 días, Baja según esfuerzo.
Reconocimiento
Los informes validados se reconocen en la página de agradecimientos de seguridad con su nombre preferido (o de forma anónima si lo solicita).