Preguntas frecuentes
1. Antes de crear un programa, te invitamos a registrar tu empresa.
La creación del perfil de tu empresa es rápida, y consiste en ingresar datos básicos tales como tu nombre, apellido, e-mail, contraseña y un nombre de usuario con contraseña de seguridad. Estos datos son confidenciales y reservados para el equipo Administrador de Vulnscope.
2. Una vez creado tu perfil, puedes empezar a crear tu primer programa..
La creación de un programa implica la definición clara del alcance, de los targets y una descripción exhaustiva del proyecto, para evitar cualquier confusión y enfocar a los Security Researchers en un objetivo preciso. Esta parte requiere tiempo y concentración.
También, se definen las recompensas de los Security Researchers y los servicios adicionales solicitados.
Indicamos, por defecto, el monto mínimo de una recompensa. Puedes aumentar este valor para atraer a más Security Researchers.
Al momento de crear un programa, está por defecto ingresado como público. Un programa público está abierto a toda la comunidad de Security Researchers para aumentar los vectores de ataque y optimizar la cantidad de resultados obtenidos.
Un programa privado se basa en el performance y habilidades de un grupo de Security Researchers limitado, con el fin de mantener un control mayor sobre el alcance y los resultados encontrados.
La comunidad de Security Researchers de Vulnscope puede revisar cualquier tipo de aplicación web, móvil, software o IoT (Internet de las cosas).
Los Security Researchers son evaluados al momento de registrarse para comprobar la información proporcionada y analizar su autenticidad. El análisis del perfil del Security Researchers es un proceso largo, que ejecutamos con seriedad, para así asegurarnos de trabajar solamente con personas de confianza.
Una vez aceptados, los Security Researchers empiezan a participar en programas públicos, en los cuales pueden demostrar sus habilidades y experiencia. Los resultados de sus primeros programas les permiten establecer su nivel a través de un ranking. El posicionamiento en este ranking define su participación en programas privados.
No hay un horario definido para lanzar un programa. Nuestros Security Researchers tienen horarios flexibles y, por consiguiente, pueden aceptar un programa a cualquier hora del día.
Sí, los programas continuos tienen una duración indefinida dependiendo de la necesidad y del presupuesto del cliente.
1. Antes de empezar a reportar vulnerabilidades y ser recompensado por tu labor, te invitamos a registrarte en nuestra plataforma (Link página sign-up Security Researcher).
La creación de tu perfil consiste en ingresar datos generales tales como tu nombre, apellido, e-mail, cuenta Twitter, Linkedin y un nombre de usuario con contraseña de seguridad. Estos datos son reservados para el equipo Administrador de Vulnscope con el fin de verificar su autenticidad.
2. El registro de tu perfil genera la aceptación de nuestra Política de Divulgación y Términos y Condiciones de Vulnscope.
3. Una vez creado y aceptado tu perfil, te invitamos a completarlo con la información faltante para optimizar tu visibilidad. Los pagos se realizan con la condición de que hayas ingresado un documento de identidad.
1. En tu dashboard podrás acceder directamente a la lista de programas públicos.
2. Lee con mucha atención la descripción del programa que te interesa antes de aceptarlo. La revisión del ámbito, tipo de acceso, credenciales, exclusiones y recompensas del proyecto es fundamental.
1. La invitación a programas privados se realiza mediante el envío de correos electrónicos en base a tu ranking y a tu perfil. Ingresa a tu perfil a partir del enlace, acepta el programa y empieza a hackear.
2. Lee con mucha atención la descripción del programa que te interesa antes de aceptarlo. La revisión del ámbito, tipo de acceso, credenciales, exclusiones y recompensas del proyecto es fundamental.
Importante: Gran parte de nuestros programas privados tienen un plazo determinado. Asegúrate de cumplir con el plazo especificado.
1. Empieza a hackear y reportar vulnerabilidades llenando los campos proporcionados por la plataforma. Los reportes mejor evaluados son los que contienen una información detallada, concisa, ilustrada y basada en un error repetible.
2. Mantente disponible, ya que es probable que el equipo administrador del programa se contacte directamente contigo a través del chat de la plataforma o por correo electrónico para solicitar más detalles.
Si tienes preguntas al momento de iniciar o ejecutar un programa, puedes escribirnos: support@vulnscope.com
No dudes en enviarnos un correo para aportar con ideas de mejoras o sugerencias. Nos gusta recibir feedback de parte de la comunidad de Security Researchers.
Los reportes de seguridad están evaluados en base a varios criterios.
Ante todo, asegúrate de reportar información que no esté fuera del ámbito del programa. Para ello, es fundamental realizar una lectura profunda de las especificaciones del programa.
Los reportes de calidad se basan en una descripción clara de la vulnerabilidad, de su impacto, nivel de riesgo y una prueba de concepto pertinente. Toda la información que permite entender los distintos pasos del ataque y repetirlo serán positivamente valorizados.
El reporte será revisado y priorizado a la mayor brevedad por el equipo administrador del programa. Si tienes algunos comentarios sobre la vulnerabilidad reportada, el equipo se comunicará contigo para reforzar la calidad de la información proporcionada. Hacemos todo lo posible para que el tiempo de evaluación del reporte sea óptimo.
El pago del reporte está reservado para el primer Security Researcher que haya reportado una vulnerabilidad, que cumpla con la Política de Divulgación de Vulnscope y esté alineada con las especificaciones del cliente.
Para ser pagado, el reporte tiene que haber sido revisado y validado por el equipo administrador del programa.
> Los pagos se realizan a través de Paypal en base a las tarifas y a los niveles de criticidad definidos en el programa. Estas tarifas varían según el programa, por lo tanto, revisa con mucha atención esta categoría antes de aceptar un nuevo proyecto.
Asegúrate de que los datos de pago ingresados en tu perfil estén correctos.
El Security Researchers asume los impuestos de su país asociados a la recepción del pago, dependiendo de las reglas de éste.
Generalmente, el plazo para recibir el pago no supera 1 mes. Si se supera este plazo, por favor, contáctate con el equipo de Vulnscope para aclarar este punto.
Al margen de la recompensa financiera, tu performance evoluciona en base a un sistema de puntaje. Tu puntaje te permite acceder a un Ranking y aumentar tu visibilidad como Security Researcher.
En ciertas ocasiones, el tiempo de validación puede ampliarse dependiendo del tamaño del proyecto. El equipo de Vulnscope hace todo lo posible para acelerar el proceso de revisión y aprobación de los reportes.
Si el tiempo de análisis de tu reporte supera los 10 días, no dudes en contactarte con nosotros: support@vulnscope.com
Desde tu dashboard personal, puedes acceder a la categoría “Estadísticas”. En esta sección, podrás consultar el estado de tu pago (Recompensas por pagar o pagadas) y la actividad relacionada con los reportes a la espera de validación.
Puedes conocer nuestra Política de Divulgación aquí: