Normas del programa
Qué se permite y qué no
Permitido: Escaneo pasivo, análisis de cabeceras, fuzzing controlado, análisis de código fuente público.
Permitido: Ingeniería inversa de comportamiento, análisis de respuestas HTTP, enumeración DNS.
Permitido: Pruebas sobre tu propia cuenta o entornos de test con permiso explícito.
Permitido: Reportar vulnerabilidades en terceros que afecten directamente a cyberius.es.
Prohibido: Ataques DoS/DDoS, fuerza bruta, spam, ingeniería social a empleados.
Prohibido: Acceso, modificación o exfiltración de datos reales de clientes.
Prohibido: Divulgación pública antes de 90 días tras el reporte (política coordinated disclosure).
Prohibido: Pruebas sobre infraestructura de terceros aunque esté relacionada con nuestros servicios.
Alcance
Targets en scope
Web principal
cyberius.es
Paste cifrado
privatebin.cyberius.es
Subdominios adicionales — solo con autorización previa
*.cyberius.es
Fuera de scope — infraestructura Cloudflare, terceros, proveedores
Out of scope
OWASP Top 10
Recompensas por categoría OWASP
| Vulnerabilidad | OWASP ID | Severidad | Recompensa |
|---|---|---|---|
| Inyección (SQL, LDAP, OS Command) | A03 | Crítica | Hasta 10.000€ |
| Broken Access Control — escalada de privilegios | A01 | Crítica | Hasta 8.000€ |
| Fallos criptográficos — exposición de datos sensibles | A02 | Crítica | Hasta 8.000€ |
| Server-Side Request Forgery (SSRF) | A10 | Alta | Hasta 5.000€ |
| Inyección XSS almacenada con impacto real | A03 | Alta | Hasta 4.000€ |
| Fallos de diseño y arquitectura de seguridad | A04 | Alta | Hasta 3.000€ |
| Componentes vulnerables y desactualizados con exploit | A06 | Media | Hasta 2.000€ |
| Fallos de identificación y autenticación | A07 | Media | Hasta 2.000€ |
| XSS reflejado / DOM-based | A03 | Media | Hasta 1.500€ |
| Logging insuficiente / sin monitorización | A09 | Baja | Hasta 1.000€ |
MITRE ATT&CK
Recompensas por táctica MITRE
| Táctica | Técnica ejemplo | Severidad | Recompensa |
|---|---|---|---|
| Execution — ejecución remota de código (RCE) | T1059 / T1203 | Crítica | Hasta 10.000€ |
| Privilege Escalation — root/admin sin autorización | T1068 / T1548 | Crítica | Hasta 8.000€ |
| Credential Access — volcado de credenciales | T1552 / T1110 | Crítica | Hasta 7.000€ |
| Lateral Movement — pivoting entre sistemas | T1021 / T1550 | Alta | Hasta 5.000€ |
| Persistence — mecanismo de persistencia oculto | T1543 / T1574 | Alta | Hasta 4.000€ |
| Defense Evasion — bypass de WAF o IDS | T1562 / T1036 | Alta | Hasta 3.500€ |
| Collection — acceso a datos sin autorización | T1005 / T1213 | Alta | Hasta 3.000€ |
| Discovery — enumeración de infraestructura interna | T1046 / T1082 | Media | Hasta 2.000€ |
| Initial Access — vector de entrada no documentado | T1190 / T1133 | Media | Hasta 1.500€ |
| Reconnaissance — información sensible expuesta | T1595 / T1589 | Baja | Hasta 1.000€ |
Contacto seguro
Envía tu reporte
Reporte cifrado con PGP — recomendado para vulnerabilidades críticas
Email[email protected]
Key IDA5469D8C560A18BA
Fingerprint57CE D97E 80F3 4343 7DA6 824D A546 9D8C 560A 18BA
Clave públicapgp-public-key.asc
Security.txt/.well-known/security.txt
Clave pública PGP
-----BEGIN PGP PUBLIC KEY BLOCK----- mQINBGoqqSoBEADZHW6RUrs8QSQI3nFVTJR/mUWJZsgLspzQtQxG+kY/IWg/7LJL GA+Sf/uoO8WjbY0opS5uLZEzt5mzVag2ole6TXqLEbjYAPWtdSEEfHXTXNB70F9H WWi4F3VfhXDKySrsYkFgp1ohbsco6zaONf2TW6nlDIn7njDJx3Fl9FazrUEJaHYh YoyZ1VF3Z0EUH17UyDGRpBK3WYz1Xi9RAC94f8kbPZQAevafNDRilcb4D3xywIns ihaiUuOgBKmTjkHjnW5QrIxQbs1XP+3PcDe4GQZA5ezC1ElSS0P51/IYqHglIVqW P9UHnC/rB3xWkwSd70AWKOPcDMidjDG4bAXnxxlViT7Fyt8XpoE/mytPjh6rQZKU S+4mx/It1KKIiss186OPDrh2dFn8M9ZZ1u1TWQYGPyaKKzGcIX4dvo7b7HV9EXow lKpeowibkRbJGHMWYyycD10c+Q4FXbS2G5RWupFBlLmS84m+OTCmoWB+OMLvTb7d gnFIIsvj99RSEsGmwA3+zE5mxoDLlKwlwUbbPMdg75Djs5Pq4fIJojwYGK1NZ+Je uwVrThnKr4R0DEYpkQTAWY1sRvkKha+/zmNcqnLRA+V9LPUhWMFGJe/vOjN7ohxF h3a3bkD/3o39s6GUCJFz/QHmn4rY/JWCizAmwP+vkqRaAxd+rNkHXF+CkwARAQAB tEJNYXJsb24gQ2FicmVyYSBWaWxsZWdhcyAoQ3liZXJpdXMgUEdQKSA8Y3liZXJp dXNjb21wYW55QGdtYWlsLmNvbT6JAlQEEwEKAD4WIQRXztl+gPNDQ32mgk2lRp2M VgoYugUCaiqpKgIbAwUJA8JnAAULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRCl Rp2MVgoYut7oD/9AIJclhYql1s/ZpB+zejZrTXn4PWCCG9ZjPIiuFJ6k8+DXsA4x PGdKMj9AfCW1GHNPM92MZaG7a91aAtMVLkd6pUGuvrJodSSkBxY2WGAW7Wi1mk+N q7K1yGMqY12YfnSYI88Pz3uDUwOuAh31HS8JvYCy8p+MH+H9AT/wDMtI/Xlgj9Dx L/kJoEgowHyMODBq7GodDPppuULJAnlzxJEGOM7IaoiYjE+WFQ70WbAlXAenekF/ /GBitwhZPeBP2joH93nJdoXaVOXKyJ9lHOYPU52y7XTXGD4hn7pqYc4q94iolAiV 0muBI+LBgn1fEvBGSb95V3ENwxUmCkkhOnSNMgxWPn90c9lRZCxcAc+VrWfGFoGC c1mxKkEIm8iu11ikwh4CzSsUpWN9uPfDQVPcdFdSJ3FSJROb87BZ96oe7kAP35W3 2/U7xDuwaq4yyMVL5hWWt1aVeyPbInBbM9DP0EN79F743RDTZbwff1mEV6qw1s7w 3fkvjatcTxzJGiY8FRpjTUBHHvuenskmi2Qe5dV2x5WOIPLOT5uzJnNlha2eLZva DtR7dqFTz34+AY/9KmWFlEe88iJ1eJR21POzezXurjfJ4aR0xGQMbD8paRs/lyDR diBsMOnu+8kNF4gREPhTsv664ZX9lT96lXQ9W/KqpnxfzJmhKcUBxOTNm7kCDQRq KqkqARAAuQBPli+PR9OK0P1yZAmzmtSF6ZcDRnf5a09WlxlDsgIyo1gumB8ccAJE jpT8E/8qVezBMTZW/ZsMrYfBm2JezWDrjPNPTyIQyoy4SGmLS8O1jZU8k8XW/de7 Mcn+YUGlpA06ENMgPmXDsax2IozA/D0+8aT1L93pj1zHY/vFiolt8t7aqw5uDgoi RczJXh8THM3MjEeJV97//GgJmvW+X+GSk+dk06WheXrkS/8akg681MmXQkNmNbpI RdqQ/C0mnDpvbO3KdEEyCFozuK6zpk2lGfYjadfdR16ylXHFLwdZgWvX6NG4D8l1 FG9yzbkWu4Hkrf1uuTPrYx7e4AVbGkENaZNcIXotr+WXus0HDlblv/Llc6X2mDgM ohPMm6EfVRJaz8euzIC4jgFQnmYwl81J2GSBIQT045cOuN8b+JWHne5LyPdX1yBI /+XSY/SqaWsYc/pQ3valuxUPt4Kx5g3+c2d4uRwAU+zY0GgOFDy69SCwYapT1Bad JzGRDpUrDZSUbPqYYmTpvljsGpZUtFsTOnxOQunnkjCZ+sgT72jKsIHiMnp0GHwL cXyRykSdVuuctCYZoAqBHB6YQj7L3Gd3GTZ0DIBTUmxYwU/j2NIHJCKfOSN3Mn/F E+hIXD93B11WMa8AryCUTxdgpR/SWuR5ddyYwmqP7kTT81rk5nEAEQEAAYkCPAQY AQoAJhYhBFfO2X6A80NDfaaCTaVGnYxWChi6BQJqKqkqAhsMBQkDwmcAAAoJEKVG nYxWChi6F9UP/2exM6iik0gAyIqEwK1f95HDZB9MTiM8Id5D4fjTQfUob6+7tje/ 7p3Bk3xIGCOwZ5LhqP/uUq5DFSA4K7OKebxcO5j11byrnpBPBvr15E01OiTM8dNA MILCKbuZqpuqdyk3G6buOHk+BnSlKhe/2KduePvXWFOEfhZC3CAHfsG2swMS/Hyy 3Kx5FFP+OmxE1f++fubn3HatL59IT2cfepSA/x6LbzWgjEt7xrf7tgEXjV0Vpev9 QIQ6tcENcwedW6OrRc4/T0k0tXh4cU+p/hIcz0qgfZMVcAS8vliV++mCJ6vwFWdc KUft6PK3eYMkJokTKMEDwGldodLdxD0ayOumbOuS1LSlP1bWkY2CmiUf94h5M1xH HFS3VbpTEGdJLBvZpgdar9BHXctbmX5hMq+o4Ct4BUX55T8J9+RK5o+A6TxVdpEC w/DREH8VnvtbX+AOO3Q3IxslmIMEPTnfVK/46z7L8zUOWWNMuZrmnFeQ5t0YqmYs sZyv+B9Nl0QiUTkmd9PqB5EhP54LClFL3yvKj2iWlHm98A/i6rpIGT6YpnkCn10D 9CbTpfOnF16so23oqTfY8uH21tXPz/NlOhe1um1bRv3WOej5gaHUnAt6JItNqDmu tAAoKH6iQ/d27OHm1Pf1V3+CtNDy0nltzk8BkRyicu13QtXTQqvXaH1v =3kbP -----END PGP PUBLIC KEY BLOCK-----
¿Encontraste algo?
El reporte debe enviarse por correo electrónico a [email protected].
Incluye PoC reproducible, impacto estimado y pasos detallados. Para vulnerabilidades críticas usa nuestra clave PGP.
Respondemos en menos de 48h · Críticas en menos de 24h.
Solo se aceptan reportes vía email · No se aceptan reportes por redes sociales ni WhatsApp