Legal
Política de Divulgación de Vulnerabilidades
Última actualización: junio de 2025
Si descubres una vulnerabilidad de seguridad en nuestros sistemas, queremos saberlo. Esta política explica cómo reportarla de forma responsable y qué puedes esperar de nosotros a cambio.
Alcance
Esta política aplica a los siguientes sistemas:
- unusai.com y todos sus subdominios.
- La plataforma web y API de Unus AI.
- Las aplicaciones móviles oficiales de Unus AI (cuando existan).
Fuera del alcance: sistemas de terceros que usamos (AWS, Stripe, Twilio, etc.), ingeniería social contra empleados, ataques de denegación de servicio (DoS/DDoS), y vulnerabilidades en versiones de navegador desactualizadas.
Cómo reportar
Envía tu reporte a security@unusai.com. Para vulnerabilidades críticas, encripta tu mensaje usando nuestra clave PGP (disponible en la misma dirección de correo).
Incluye en tu reporte:
- Descripción de la vulnerabilidad y su impacto potencial.
- Pasos detallados para reproducirla.
- Capturas de pantalla, solicitudes HTTP o código de prueba de concepto (PoC), si aplica.
- Tus datos de contacto (opcional, pero útil para el seguimiento).
Lo que nos comprometemos a hacer
Acusamos recibo de tu reporte.
Confirmamos si el reporte es válido e informamos la severidad asignada.
Publicamos una corrección para vulnerabilidades confirmadas. Te notificamos antes de divulgación pública.
Si necesitamos más tiempo por la complejidad del problema, te lo comunicamos con transparencia.
Puerto seguro
Si actúas de buena fe conforme a esta política, Unus AI:
- No iniciará acciones legales civiles ni penales en tu contra.
- No te reportará ante autoridades.
- Considerará tu actividad como autorizada bajo la Ley Federal de Delitos Informáticos.
Este puerto seguro aplica siempre que no dañes sistemas, no accedas a datos de terceros más allá de lo necesario para demostrar la vulnerabilidad, no divulgues el hallazgo públicamente antes de nuestra corrección, y no uses la vulnerabilidad para beneficio personal.
Lo que te pedimos
- No accedas ni modifiques datos que no sean tuyos.
- No interrumpas el servicio ni degrades la experiencia de otros usuarios.
- No divulgues públicamente la vulnerabilidad antes de que la corrijamos (coordinated disclosure).
- Danos tiempo razonable para responder antes de hacer seguimiento.
Reconocimientos
Agradecemos públicamente a los investigadores que nos reporten vulnerabilidades válidas y que cumplan con esta política. Si no deseas reconocimiento público, lo respetamos.
En este momento no ofrecemos compensación económica por reportes (bug bounty), aunque es algo que evaluamos implementar. Te notificaremos si esto cambia.
Contacto
Para reportes de seguridad: security@unusai.com
Para consultas sobre esta política: legal@unusai.com