## Por qué importa

A menudo, un informe válido tiene que llegar a alguien que no está en tu equipo de seguridad: el ingeniero responsable del servicio afectado, un responsable de guardia, un contratista externo. Reenviar el informe en crudo filtra la identidad del investigador, tus cifras de recompensa y tus notas internas de triaje, y los hilos de correo no se pueden revocar. Compartir con colegas le da a esa persona justo lo que necesita para confirmar y corregir el fallo, y nada más, tras un enlace que caduca y que puedes revocar cuando quieras.

> Compartir con colegas está disponible en los planes VDP de pago.

## Cómo compartir un informe

Abre un [informe](/csirt/reports) y usa **Share with a peer** (Compartir con un colega) en el panel **Shared links** (Enlaces compartidos). Introduce el correo del destinatario, elige si quieres permitirle responder con comentarios y envíalo. Kit le manda una invitación con la marca de tu programa y en tu nombre; el correo en sí no contiene ningún detalle de la vulnerabilidad.

El enlace queda **vinculado a esa dirección de correo**. Cuando el colega lo abre, tiene que confirmar la dirección antes de que se muestre el informe, así que un enlace reenviado no le sirve a nadie más: la confirmación solo llega al destinatario original.

## Qué ve el colega

La vista compartida es una versión redactada y de solo lectura del informe:

- **Se muestra**: el tipo de vulnerabilidad, el endpoint afectado, la severidad, la descripción, los pasos de reproducción y los adjuntos (servidos como descargas de corta duración y fuera del origen).
- **Se oculta**: la identidad y el correo del investigador, los importes de la recompensa, tus notas internas, el autor de la evaluación y la cronología de tu equipo.

Si activaste los comentarios, el colega puede responder. Sus respuestas quedan en el informe como notas **internas, solo para el equipo** (marcadas con claridad como procedentes de un colega externo) y nunca se le muestran al investigador.

## Caducidad y revocación

- Los enlaces caducan a los **7 días** de crearse.
- Un enlace **deja de funcionar automáticamente** en cuanto el informe se desestima o se cierra.
- Puedes **revocar** un enlace cuando quieras desde el panel de enlaces compartidos; el colega pierde el acceso de inmediato.

## Cuando un enlace ha caducado

Un colega que abre un enlace **caducado** ya no se topa con un callejón sin salida. Tras confirmar el email al que se envió el enlace, puede:

- **Solicitar un enlace nuevo**: Kit envía un nuevo enlace de 7 días a esa misma dirección (nunca a otra), aunque el informe haya avanzado desde entonces. Un enlace **revocado** no se puede renovar por cuenta propia: revocar es tu decisión de poner fin al acceso, así que el colega solo ve un aviso para que se ponga en contacto contigo.
- **Solicitar unirse al equipo**: el mismo flujo de solicitud de acceso que se describe más abajo.

## Ver quién ha abierto un informe

El acceso externo se presenta como una señal de seguridad, no como un discreto acuse de "visto":

- El panel de enlaces compartidos muestra cada destinatario, su estado, el número de vistas, la hora de la última visualización y el país desde el que lo abrió.
- La cabecera del informe muestra una etiqueta **"Shared · N external viewers"**.
- La cronología del informe registra un evento **External viewer opened this report**.
- Tanto a la persona que compartió el enlace como a la persona asignada al informe se les avisa la primera vez que cada dirección nueva lo abre; una dirección nueva en el mismo enlace puede ser señal de un reenvío.

## Solicitar unirse al equipo

Un colega que necesite acceso continuado puede solicitar **unirse a tu equipo de seguridad** desde el informe compartido. La solicitud llega a los administradores de tu cuenta junto con el resto de solicitudes de acceso; al aprobarla se envía una invitación de equipo normal y, una vez aceptada, pasa a ser miembro de pleno derecho con su propia cuenta, sin más enlaces puntuales.

Cuando abres la solicitud, Kit te muestra **quién la pide** (nombre, email y el país desde el que la solicitó) y **de qué informe** procede el enlace compartido, para que puedas confirmar que realmente compartiste el informe con esta persona antes de invitarla. **Aprobar** envía la invitación al equipo; **Descartar** desecha la solicitud sin previo aviso (la persona que la hizo nunca recibe ninguna notificación).