El portal del investigador
Como los investigadores envian reportes, siguen el estado, apelan decisiones y configuran su informacion de pago a traves del portal seguro.
Por que es importante
Los investigadores son mucho mas propensos a enviar reportes a traves de un portal transparente y estructurado que a una bandeja de entrada ciega de security@. Un flujo de envio claro con seguimiento de estado integrado les demuestra a los investigadores que tomas su trabajo en serio, lo que atrae reportes de mayor calidad y construye confianza a largo plazo con la comunidad de seguridad.
El portal de investigadores de Kit usa autenticacion por magic link, sin contrasenas que gestionar ni cuentas que crear. Esto elimina la friccion para investigadores ocasionales mientras mantiene la trazabilidad y un canal de comunicacion seguro para cada reporte.
Lo que ven los investigadores
El portal de investigadores se encuentra en una URL separada de tu panel de administracion:
/security/{program-slug}/
Este es un portal publico, distinto de la interfaz de administracion de Kit que usa tu equipo. La experiencia esta disenada en torno a tres principios:
Dominio personalizado (VDP Add-on)
Con el VDP Add-on puedes servir tu portal de seguridad en tu propio dominio, por ejemplo security.yourcompany.com, en lugar de la ruta de subdominio predeterminada de Kit. Apunta un registro DNS CNAME a Kit y agrega el dominio en Account Settings > Custom Domains. Una vez que el dominio este verificado y activo, todas las URLs del portal (/policy, /report, /hall-of-fame, /.well-known/security.txt) se sirven directamente desde tu dominio sin prefijo de ruta.
Los dominios personalizados del portal de seguridad requieren el VDP Add-on ($49/mes).
- Barrera de entrada baja – No se requiere inicio de sesion para enviar un reporte. Los investigadores solo necesitan una direccion de correo electronico.
- Transparencia despues del envio – Una vez enviado el reporte, el investigador recibe un magic link por correo electronico para acceder a su portal. Desde ahi pueden ver sus reportes enviados, el estado actual de cada reporte, el hilo de mensajes con tu equipo y una linea de tiempo de eventos.
- Aislamiento estricto – Los investigadores no pueden ver las notas internas del equipo, los reportes de otros investigadores ni ningun detalle mas alla de sus propios envios.
Enviar un reporte
El formulario publico de envio esta disponible en /security/{program-slug}/reports/new. No se requiere cuenta: el investigador proporciona una direccion de correo electronico y Kit se encarga del resto.
Campos obligatorios
| Campo | Descripcion |
|---|---|
| Vulnerability Type | Categoria OWASP seleccionada de un desplegable (SQL Injection, XSS, Broken Auth, IDOR, SSRF, RCE, etc.) |
| Affected Endpoint | La URL o componente del sistema donde existe la vulnerabilidad |
| Severity (Self-Assessed) | La estimacion propia del investigador, no es vinculante para la evaluacion final de tu equipo |
| Description | Detalles completos de la vulnerabilidad, con soporte de Markdown |
| Reproduction Steps | Instrucciones paso a paso para reproducir el problema |
| Impact | Que datos o funcionalidad estan en riesgo si se explota la vulnerabilidad |
| Email Address | Se usa para el acceso al portal por magic link y todas las notificaciones |
Los investigadores tambien pueden adjuntar archivos: capturas de pantalla, codigo de prueba de concepto o grabaciones de video. Son opcionales pero se recomiendan para vulnerabilidades complejas.
Se presenta un desafio CAPTCHA al enviar y se aplica limitacion de tasa por direccion IP para evitar que el spam automatizado llegue a tu cola de triaje.
Despues del envio
Una vez que se envia un reporte, ocurren dos cosas de inmediato:
- El reporte aparece en la cola de triaje de tu equipo (consulta Triaging Reports)
- El investigador recibe un correo de confirmacion con un magic link a su portal
El magic link otorga acceso al portal del investigador sin necesidad de contrasena. Cada notificacion posterior por correo tambien incluye un enlace actualizado al portal a traves de la variable de plantilla {{ portal_link }}.
Autenticacion por magic link
El portal usa magic links basados en correo electronico en lugar de contrasenas. Asi es como funciona:
- El investigador visita
/security/{program-slug}/e ingresa su direccion de correo electronico - Kit envia un enlace de inicio de sesion de un solo uso a esa direccion
- Al hacer clic en el enlace, se autentica al investigador y se abre su portal
- La sesion persiste hasta que se cierra el navegador o el enlace expira
Si un investigador no tiene una sesion activa, puede solicitar un nuevo magic link en cualquier momento desde la pagina de inicio de sesion del portal. Tambien hay un enlace “Submit a new report” disponible en la pagina de inicio de sesion para visitantes nuevos.
Ver el estado de los reportes
Desde el portal, los investigadores ven una lista de todos los reportes que han enviado. Cada tarjeta de reporte muestra:
| Elemento | Detalles |
|---|---|
| Report ID | Identificador unico con prefijo (p. ej., RPT-abc123) |
| Title | El titulo de la vulnerabilidad del envio |
| Severity | Se muestra una vez que tu equipo ha completado su evaluacion |
| Status | Estado actual en lenguaje claro (p. ej., “Validated”, “In Progress”, “Resolved”) |
| Bounty | Monto y estado, si se ha aprobado una recompensa |
| Submitted Date | Cuando se presento originalmente el reporte |
Al hacer clic en un reporte se muestra la vista de detalle completa: el contenido original del envio, el estado actual con una explicacion, el hilo de mensajes (solo mensajes externos; las notas internas del equipo estan ocultas) y una linea de tiempo de todas las transiciones.
Los investigadores no pueden editar los detalles del reporte despues del envio. Pueden comunicarse con tu equipo enviando mensajes en el hilo del reporte, que es el canal principal para solicitudes de aclaracion y actualizaciones de estado. Consulta Communicating with Researchers para saber como tu equipo gestiona estas conversaciones.
Apelaciones
Cuando tu equipo descarta un reporte, el investigador tiene la opcion de apelar la decision directamente desde el portal.
Como funcionan las apelaciones
- El investigador abre el reporte descartado en su portal
- Hace clic en Appeal y proporciona una justificacion escrita (minimo 10 caracteres)
- La apelacion se envia y tu equipo recibe una notificacion a traves de la plantilla de correo
appeal_receivedy una notificacion de Slack (si esta configurada) - Tu equipo revisa la apelacion desde la vista de detalle del reporte y puede confirmar o revocar el descarte original
Limites de apelacion
Cada reporte tiene un numero maximo configurable de apelaciones. El valor predeterminado es 3 apelaciones por reporte. Puedes ajustar este limite en la configuracion de triaje de tu programa. El portal muestra cuantas apelaciones se han usado (p. ej., “Appeals used: 1 of 3”) para que los investigadores sepan donde estan.
NDA / Acuerdo
Opcionalmente puedes requerir que los investigadores acepten un acuerdo del programa antes de que se desembolse una recompensa. Esto es util para acuerdos de confidencialidad o terminos de divulgacion coordinada.
- Configura el texto del acuerdo en Program Settings usando el editor de texto enriquecido
- Cuando se aprueba una recompensa, el investigador ve un mensaje de Accept Agreement en su portal
- La aceptacion se registra con una marca de tiempo
- El investigador puede opcionalmente subir una copia firmada del documento
La aceptacion del acuerdo es un requisito previo para el pago: si esta habilitada, el proceso de desembolso no avanzara hasta que el investigador haya aceptado.
Configuracion de pago (VDP Add-on)
Despues de que tu equipo aprueba una recompensa, se le solicita al investigador en su portal que proporcione la informacion de pago. Esta seccion solo esta disponible con el VDP Add-on ($49/mes).
Los metodos de pago disponibles dependen de lo que hayas configurado en Program Settings:
- Bank Transfer – El investigador proporciona los datos de su cuenta bancaria
- PayPal – El investigador proporciona su direccion de correo de PayPal
- Crypto – El investigador proporciona una direccion de billetera
La informacion de pago se cifra en reposo. Una vez enviada, los detalles completos nunca se vuelven a mostrar en el portal: el investigador solo ve una confirmacion de que su informacion esta archivada. Tu equipo usa esta informacion exclusivamente para ejecutar la transferencia. Consulta Bounties and Payouts para conocer el flujo completo de desembolso.
Documentos fiscales (VDP Add-on)
Para programas que requieren documentacion fiscal antes del desembolso, los investigadores suben sus formularios directamente a traves del portal. Esta seccion solo esta disponible con el VDP Add-on ($49/mes).
| Documento | Quien lo necesita | Proposito |
|---|---|---|
| W-9 | Investigadores en EE.UU. | Requerido por el IRS para pagos domesticos que excedan $600/ano |
| W-8BEN | Investigadores fuera de EE.UU. | Certifica el estatus de extranjero y solicita beneficios de tratado para reducir la retencion |
Flujo de carga:
- Despues de que se aprueba una recompensa, el investigador ve un aviso en su portal para subir el documento fiscal correspondiente
- El investigador selecciona el tipo de documento (W-9 o W-8BEN) y sube el archivo
- Tu equipo revisa y marca el documento como verified o rejected desde la cola de Tax Documents en el panel de administracion
- Si se rechaza, el investigador recibe una notificacion y puede subir una version corregida
Un job recurrente en segundo plano monitorea las fechas de vencimiento de los documentos y envia recordatorios a los investigadores cuando sus documentos estan proximos a expirar. La verificacion del documento fiscal es un requisito previo para el desembolso cuando este requerimiento esta habilitado en la configuracion de tu programa.
Control de acceso solo por invitacion
Por defecto, tu portal de seguridad es accesible publicamente para cualquiera con la URL. Puedes cambiar al modo solo por invitacion para restringir quien puede enviar reportes, algo util para programas privados, betas de acceso anticipado o programas limitados a una lista curada de investigadores.
Para habilitarlo, ve a VDP > Security Portal Settings y establece Access Control en Invite Only. Kit genera automaticamente un token de acceso secreto. Comparte la URL de invitacion resultante directamente con investigadores de confianza: incluye el token y otorga una sesion persistente en el navegador al hacer clic.
Formulario de solicitud de acceso
Cuando un visitante llega a tu portal bloqueado sin un token valido, en lugar de un callejon sin salida ve un breve formulario de Request Access. Puede ingresar su correo electronico y un mensaje opcional explicando su interes. No estas obligado a aprobar cada solicitud, y enviar el formulario no le indica al visitante si su correo ya estaba pendiente, lo que previene la enumeracion.
Cuando llega una solicitud:
- Se envia un correo de notificacion a tu direccion de contacto de
security.txt(o al correo de facturacion de la cuenta como respaldo) - El elemento Access Requests aparece en la barra lateral de VDP bajo Configuration, con una insignia mostrando el conteo de solicitudes pendientes
- Abre VDP > Access Requests para revisar las solicitudes pendientes: se muestran la direccion de correo, el mensaje opcional y la fecha de envio
- Haz clic en Approve & Send Invite para enviar al solicitante su enlace de invitacion personal en un solo paso
El enlace de invitacion enviado al aprobar es la misma URL basada en token que compartirias manualmente. Una vez que un investigador hace clic, tiene una sesion persistente y puede enviar reportes normalmente.
Hall of Fame
Los investigadores pueden optar por aparecer en el Hall of Fame publico de tu programa desde su perfil del portal. Esto es completamente voluntario: ningun investigador aparece en la lista sin su consentimiento explicito.
Como funciona:
- En la pagina de perfil del portal, el investigador activa Show my handle publicly
- Solo se muestra su handle en la tabla de clasificacion publica, nunca su nombre real ni direccion de correo
- Tu equipo puede destacar investigadores especificos desde la pagina de gestion del Hall of Fame en el panel de administracion (los investigadores destacados aparecen primero)
- El Hall of Fame publico es accesible en
/security/{program-slug}/hall-of-fame
El Hall of Fame es un incentivo de bajo costo que funciona especialmente bien para programas de solo reconocimiento (sin recompensas monetarias). Habilitalo en Program Settings para darles a los investigadores una razon para participar.
Lista de verificacion rapida
- Verifica la URL de tu formulario de envio (
/security/{program-slug}/reports/new) y compartela en tu security.txt y en el pie de pagina de tu sitio web - (VDP Add-on) Configura un dominio personalizado (p. ej.,
security.yourcompany.com) en Account Settings > Custom Domains para una experiencia de marca para los investigadores - Prueba el flujo de magic link enviando un reporte de prueba con un correo personal
- Personaliza la plantilla de correo
report_acknowledgedpara que los investigadores sepan que esperar despues de enviar - Configura el limite de apelaciones en Triage Settings (predeterminado: 3 por reporte)
- Configura un NDA/acuerdo si tu programa lo requiere antes del pago
- Habilita el Hall of Fame en Program Settings para incentivar la participacion de los investigadores
- Si gestionas un programa privado, habilita el control de acceso solo por invitacion en Security Portal Settings y comparte la URL de invitacion con investigadores de confianza
- Si usas el VDP Add-on, verifica que los metodos de pago y los requisitos de documentos fiscales esten configurados correctamente
Proximos pasos
- Bounties and Payouts – el proceso completo de desembolso, documentos fiscales y libro mayor financiero
- Communicating with Researchers – hilos de mensajes y plantillas de correo