Logo StartupKit
ES
English Deutsch Français Español Polski

El portal del investigador

Cómo los investigadores envían informes, siguen el estado, apelan decisiones y configuran su información de pago a través del portal seguro.

Por qué es importante

Los investigadores son mucho más propensos a enviar informes a través de un portal transparente y estructurado que a una bandeja de entrada ciega de security@. Un flujo de envío claro con seguimiento de estado integrado les demuestra que tomas su trabajo en serio, lo que atrae informes de mayor calidad y genera confianza a largo plazo con la comunidad de seguridad.

El portal del investigador de Kit usa autenticación por enlace mágico: sin contraseñas que gestionar ni cuentas que crear. Esto elimina la fricción para investigadores ocasionales y, al mismo tiempo, mantiene la trazabilidad y un canal de comunicación seguro para cada informe.

Lo que ven los investigadores

El portal del investigador se encuentra en una URL separada de tu panel de administración:

/security/{program-slug}/

Este es un portal de cara al público, distinto de la interfaz de administración de Kit que usa tu equipo. La experiencia está diseñada en torno a tres principios:

Dominio personalizado (complemento VDP)

Con el complemento VDP puedes servir tu portal de seguridad en tu propio dominio (por ejemplo security.yourcompany.com) en lugar de la ruta de subdominio predeterminada de Kit. Apunta un registro DNS CNAME a Kit y agrega el dominio en Account Settings > Custom Domains. Una vez que el dominio esté verificado y activo, todas las URL del portal (/policy, /report, /hall-of-fame, /.well-known/security.txt) se sirven directamente desde tu dominio sin prefijo de ruta.

Los dominios personalizados del portal de seguridad requieren el complemento VDP ($49/mes).

  • Barrera de entrada baja — No se requiere inicio de sesión para enviar un informe. Los investigadores solo necesitan una dirección de correo electrónico.
  • Transparencia tras el envío — Una vez enviado el informe, el investigador recibe un enlace mágico por correo electrónico para acceder a su portal. Desde ahí pueden ver sus informes enviados, el estado actual de cada uno, el hilo de mensajes con tu equipo y una cronología de eventos.
  • Aislamiento estricto — Los investigadores no pueden ver las notas internas del equipo, los informes de otros investigadores ni ningún detalle más allá de sus propios envíos.

Enviar un informe

El formulario público de envío está disponible en /security/{program-slug}/report. No se requiere cuenta: el investigador proporciona una dirección de correo electrónico y Kit se encarga del resto.

Campos obligatorios

Campo Descripción
Tipo de vulnerabilidad Categoría OWASP seleccionada de un desplegable (SQL Injection, XSS, Broken Auth, IDOR, SSRF, RCE, etc.)
Endpoint afectado La URL o componente del sistema donde existe la vulnerabilidad
Severidad (autoevaluada) La estimación propia del investigador; no es vinculante para la evaluación final de tu equipo
Descripción Detalles completos de la vulnerabilidad, compatible con Markdown
Pasos de reproducción Instrucciones paso a paso para reproducir el problema
Impacto Qué datos o funcionalidad están en riesgo si se explota la vulnerabilidad
Dirección de correo Se usa para el acceso al portal por enlace mágico y todas las notificaciones

Los investigadores también pueden adjuntar archivos: capturas de pantalla, código de prueba de concepto o grabaciones de vídeo. Son opcionales, pero se recomiendan para vulnerabilidades complejas.

Al enviar se presenta un desafío CAPTCHA y se aplica limitación de tasa por dirección IP para evitar que el spam automatizado llegue a tu cola de triaje.

Después del envío

Una vez que se envía un informe, ocurren dos cosas de inmediato:

  1. El informe aparece en la cola de triaje de tu equipo (consulta Triaje de informes)
  2. El investigador recibe un correo de confirmación con un enlace mágico a su portal

El enlace mágico otorga acceso al portal del investigador sin necesidad de contraseña. Cada notificación posterior por correo incluye también un enlace nuevo al portal a través de la variable de plantilla {{ portal_link }}.

Autenticación por enlace mágico

El portal usa enlaces mágicos basados en correo electrónico en lugar de contraseñas. Así es como funciona:

  1. El investigador visita /security/{program-slug}/ e ingresa su dirección de correo electrónico
  2. Kit envía un enlace de inicio de sesión de un solo uso a esa dirección
  3. Al hacer clic en el enlace, se autentica al investigador y se abre su portal
  4. La sesión persiste hasta que se cierra el navegador o el enlace expira

Si un investigador no tiene una sesión activa, puede solicitar un nuevo enlace mágico en cualquier momento desde la página de inicio de sesión del portal. También hay un enlace «Enviar un nuevo informe» en la página de inicio de sesión para visitantes nuevos.

Ver el estado de los informes

Desde el portal, los investigadores ven una lista de todos los informes que han enviado. Cada tarjeta de informe muestra:

Elemento Detalles
ID del informe Identificador único con prefijo (p. ej., RPT-abc123)
Título El título de la vulnerabilidad del envío
Severidad Se muestra una vez que tu equipo ha completado su evaluación
Estado Estado actual en lenguaje claro (p. ej., «Validado», «En curso», «Resuelto»)
Recompensa Importe y estado, si se ha aprobado una recompensa
Fecha de envío Cuándo se presentó originalmente el informe

Al hacer clic en un informe se muestra la vista de detalle completa: el contenido original del envío, el estado actual con una explicación, el hilo de mensajes (solo mensajes externos; las notas internas del equipo están ocultas) y una cronología de todas las transiciones.

Los investigadores no pueden editar los detalles del informe después del envío. Pueden comunicarse con tu equipo enviando mensajes en el hilo del informe, que es el canal principal para solicitudes de aclaración y actualizaciones de estado. Consulta Comunicación con investigadores para saber cómo tu equipo gestiona estas conversaciones.

Apelaciones

Cuando tu equipo desestima un informe, el investigador tiene la opción de apelar la decisión directamente desde el portal.

Cómo funcionan las apelaciones

  1. El investigador abre el informe desestimado en su portal
  2. Hace clic en Appeal y proporciona una justificación escrita (mínimo 10 caracteres)
  3. La apelación se envía y tu equipo recibe una notificación a través de la plantilla de correo appeal_received, una alerta de guardia y una notificación de Slack (si está configurada); cada una enlaza directamente al panel de apelación en el informe
  4. Tu equipo revisa la apelación desde la vista de detalle del informe y la acepta o la rechaza:
    • Aceptar — tu equipo está de acuerdo con el investigador. Si el informe estaba desestimado, aceptarla lo reabre y lo devuelve al triaje. Se envía un correo al investigador informándole de que la apelación fue aceptada.
    • Rechazar — tu equipo mantiene la decisión original. Se envía un correo al investigador informándole de que la decisión se mantiene.

En cualquier caso, la decisión, la persona revisora y la marca de tiempo quedan registradas en el informe. Consulta Triaje de informes para ver el lado del equipo de este flujo.

Límites de apelación

Cada informe tiene un número máximo configurable de apelaciones. El valor predeterminado es 3 apelaciones por informe. Puedes ajustar este límite en la configuración de triaje de tu programa. El portal muestra cuántas apelaciones se han usado (p. ej., «Apelaciones usadas: 1 de 3») para que los investigadores sepan en qué punto están.

NDA / Acuerdo

Opcionalmente puedes requerir que los investigadores acepten un acuerdo del programa antes de que se desembolse una recompensa. Esto es útil para acuerdos de confidencialidad o términos de divulgación coordinada.

  • Configura el texto del acuerdo en Program Settings usando el editor de texto enriquecido
  • Cuando se aprueba una recompensa, el investigador ve un aviso de Accept Agreement en su portal
  • La aceptación se registra con una marca de tiempo
  • El investigador puede subir opcionalmente una copia firmada del documento

La aceptación del acuerdo es un requisito previo para el pago: si está habilitada, el proceso de desembolso no avanzará hasta que el investigador haya aceptado.

Configuración de pago (complemento VDP)

Después de que tu equipo aprueba una recompensa, se le solicita al investigador en su portal que proporcione la información de pago. Esta sección solo está disponible con el complemento VDP ($49/mes).

Los métodos de pago disponibles dependen de lo que hayas configurado en Program Settings:

  • Bank Transfer — El investigador proporciona los datos de su cuenta bancaria
  • PayPal — El investigador proporciona la dirección de correo de su cuenta de PayPal
  • Crypto — El investigador proporciona una dirección de billetera

La información de pago se cifra en reposo. Una vez enviada, los detalles completos nunca se vuelven a mostrar en el portal: el investigador solo ve una confirmación de que su información está archivada. Tu equipo usa esta información exclusivamente para ejecutar la transferencia. Consulta Recompensas y pagos para conocer el flujo completo de desembolso.

Documentos fiscales (complemento VDP)

Para programas que requieren documentación fiscal antes del desembolso, los investigadores suben sus formularios directamente a través del portal. Esta sección solo está disponible con el complemento VDP ($49/mes).

Documento Quién lo necesita Finalidad
W-9 Investigadores en EE. UU. Requerido por el IRS para pagos nacionales que excedan $600/año
W-8BEN Investigadores fuera de EE. UU. Certifica el estatus de extranjero y solicita beneficios de tratado para reducir la retención

Flujo de carga:

  1. Después de que se aprueba una recompensa, el investigador ve un aviso en su portal para subir el documento fiscal correspondiente
  2. El investigador selecciona el tipo de documento (W-9 o W-8BEN) y sube el archivo
  3. Tu equipo revisa y marca el documento como verified o rejected desde la cola de Tax Documents en el panel de administración
  4. Si se rechaza, el investigador recibe una notificación y puede subir una versión corregida

Una tarea recurrente en segundo plano monitorea las fechas de vencimiento de los documentos y envía recordatorios a los investigadores cuando sus documentos están próximos a expirar. La verificación del documento fiscal es un requisito previo para el desembolso cuando este requisito está habilitado en la configuración de tu programa.

Control de acceso solo por invitación

Por defecto, tu portal de seguridad es accesible públicamente para cualquiera que tenga la URL. Puedes cambiar al modo solo por invitación para restringir quién puede enviar informes, algo útil para programas privados, betas de acceso anticipado o programas limitados a una lista curada de investigadores.

Para habilitarlo, ve a VDP > Security Portal Settings y establece Access Control en Invite Only. Kit genera automáticamente un token de acceso secreto. Comparte la URL de invitación resultante directamente con investigadores de confianza: incluye el token y otorga una sesión persistente en el navegador al hacer clic.

Formulario de solicitud de acceso

Cuando un visitante llega a tu portal bloqueado sin un token válido, en lugar de un callejón sin salida ve un breve formulario de Request Access. Puede ingresar su correo electrónico y un mensaje opcional explicando su interés. No estás obligado a aprobar cada solicitud, y enviar el formulario no le indica al visitante si su correo ya estaba pendiente, lo que previene la enumeración.

Cuando llega una solicitud:

  1. Se envía un correo de notificación a tu dirección de contacto de security.txt (o al correo de facturación de la cuenta como respaldo)
  2. El elemento Access Requests aparece en la barra lateral de VDP bajo Configuration, con una insignia que muestra el conteo de solicitudes pendientes
  3. Abre VDP > Access Requests para revisar las solicitudes pendientes: se muestran la dirección de correo, el mensaje opcional y la fecha de envío
  4. Haz clic en Approve & Send Invite para enviar al solicitante su enlace de invitación personal en un solo paso

El enlace de invitación que se envía al aprobar es la misma URL basada en token que compartirías manualmente. Una vez que un investigador hace clic, tiene una sesión persistente y puede enviar informes normalmente.

Salón de la fama

Los investigadores pueden optar por aparecer en el salón de la fama público de tu programa desde su perfil del portal. Esto es completamente voluntario: ningún investigador aparece en la lista sin su consentimiento explícito.

Cómo funciona:

  • En la página de perfil del portal, el investigador activa Show my handle publicly
  • Solo se muestra su alias en la tabla de clasificación pública, nunca su nombre real ni su dirección de correo
  • Tu equipo puede destacar investigadores específicos desde la página de gestión del salón de la fama en el panel de administración (los investigadores destacados aparecen primero)
  • El salón de la fama público es accesible en /security/{program-slug}/hall-of-fame

El salón de la fama es un incentivo de bajo costo que funciona especialmente bien para programas de solo reconocimiento (sin recompensas monetarias). Habilítalo en Program Settings para darles a los investigadores una razón para participar.

Checklist

  • Verifica la URL de tu formulario de envío (/security/{program-slug}/report) y compártela en tu security.txt y en el pie de página de tu sitio web
  • (complemento VDP) Configura un dominio personalizado (p. ej., security.yourcompany.com) en Account Settings > Custom Domains para una experiencia con tu marca para los investigadores
  • Prueba el flujo de enlace mágico enviando un informe de prueba con un correo personal
  • Personaliza la plantilla de correo report_acknowledged para que los investigadores sepan qué esperar después de enviar
  • Configura el límite de apelaciones en Triage Settings (predeterminado: 3 por informe)
  • Configura un NDA/acuerdo si tu programa lo requiere antes del pago
  • Habilita el salón de la fama en Program Settings para incentivar la participación de los investigadores
  • Si gestionas un programa privado, habilita el control de acceso solo por invitación en Security Portal Settings y comparte la URL de invitación con investigadores de confianza
  • Si usas el complemento VDP, verifica que los métodos de pago y los requisitos de documentos fiscales estén configurados correctamente

Siguiente paso

Escriba para buscar...