Actualizado el 19 de enero de 2026

En Tieriun, nos tomamos muy en serio la seguridad de nuestros sistemas y la privacidad de nuestros usuarios. Valoramos a la comunidad de investigadores y agradecemos los informes de vulnerabilidades de investigadores independientes que identifiquen problemas en nuestras plataformas.

Importante: No hay programa de recompensas

Tenga en cuenta que Tieriun no opera un programa de recompensas por la detección de errores. No ofrecemos recompensas ni compensaciones económicas por los informes de vulnerabilidades.

Expresamos nuestro agradecimiento a los investigadores que informan de los problemas de forma responsable, reconociendo su contribución (previa solicitud y verificación), pero no aceptaremos solicitudes de pago.

Directrices para la notificación de vulnerabilidades

Si cree haber encontrado una vulnerabilidad de seguridad, infórmenos a través de la siguiente dirección de correo electrónico: security@tieriun.com

Incluya la siguiente información:

  1. Una descripción de la vulnerabilidad.
  2. Los pasos para reproducir el problema (prueba de concepto).
  3. El impacto potencial.

Protección legal

Ofrecemos protección legal a los investigadores que:

  1. Actúen de buena fe para evitar violaciones de la privacidad, destrucción de datos e interrupción o degradación de nuestros servicios.
  2. Interactúen únicamente con las cuentas de su propiedad o para las que tengan permiso explícito.
  3. Informen de la vulnerabilidad directamente a nosotros y nos concedan un plazo razonable para resolver el problema antes de hacerlo público.

Si sigue estas directrices, Tieriun no emprenderá acciones legales contra usted en relación con su investigación.

Vulnerabilidades fuera del alcance (Vulnerabilidades no elegibles)

Para ahorrarle tiempo a usted y a nosotros, le rogamos que no informe de las siguientes vulnerabilidades, ya que no las consideramos críticas ni que requieran atención inmediata o reconocimiento:

  1. Configuración de correo electrónico: Registros SPF, DKIM o DMARC faltantes o incorrectos.
  2. Encabezados HTTP: Encabezados de seguridad faltantes (por ejemplo, HSTS). CSP, X-Frame-Options, X-Content-Type-Options) sin prueba de explotación.
  3. Divulgación de información: Banners de versión del servidor, archivos públicos (robots.txt, security.txt) o rutas expuestas no sensibles.
  4. Ataques basados ​​en volumen: DoS/DDoS, fuerza bruta o problemas de limitación de velocidad.
  5. Errores de interfaz de usuario/experiencia de usuario: Clickjacking en páginas sin acciones sensibles, inyección de texto.
  6. Informes de escaneo automatizados generados por herramientas (por ejemplo, Burp Suite, Nessus) sin validación manual.

Plazo de respuesta

Confirmaremos la recepción de su informe. Sin embargo, debido al volumen de spam automatizado, es posible que no respondamos a los informes que se incluyan en la categoría "Fuera de alcance" mencionada anteriormente ni a los informes que exijan un pago como requisito previo para la divulgación.