Ir al contenido
OsTigerLab
Acceder ahora
Seguridad

Política de Seguridad y Divulgación Responsable

Última actualización: 4 de mayo de 2026 — Versión 1.0

1. Compromiso

En OsTigerLab la seguridad de la información es un principio rector — no podía ser de otra manera siendo una academia de ciberseguridad. Aplicamos buenas prácticas a nivel código, infraestructura y organización, y agradecemos a la comunidad de investigadores y alumnos que nos ayudan a mejorar reportando hallazgos.

2. Programa de divulgación responsable

Si descubrís una vulnerabilidad o debilidad de seguridad en cualquiera de nuestros sistemas, te pedimos que NO la publiques ni la explotes más allá de lo necesario para confirmarla. Contactanos de forma privada y trabajemos juntos para resolverla.

Canales para reportar

Por orden de preferencia:

  1. Email cifrado: security@ostigerlab.com (si manejás PGP, podés usar nuestra clave pública en /.well-known/pgp-key.asc).
  2. WhatsApp directo al director técnico: +54 9 351 816 4922.
  3. Archivo machine-readable: /.well-known/security.txt (RFC 9116).

3. Qué incluir en el reporte

Para reproducir y resolver rápido, ayuda incluir:

  • URL afectada y endpoint exacto.
  • Pasos para reproducir (PoC mínimo).
  • Impacto estimado (qué se obtiene / qué se rompe).
  • Browser/OS/dispositivo donde lo encontraste.
  • Tu IP y user-agent del momento del test (para correlacionar logs).
  • Si descubriste data sensible, NO la descargues más allá de la prueba. Mostranos lo mínimo y necesario.

4. Tiempos de respuesta

Etapa Tiempo
Acuse de recibo≤ 24 hs hábiles
Validación inicial / triage≤ 5 días hábiles
Mitigación temporal (si crítico)≤ 24 hs
Fix definitivo≤ 30 días
Comunicación pública (si aplica)≥ 90 días tras fix

5. Alcance (in-scope)

  • ostigerlab.com y todos los subdominios productivos.
  • Endpoints REST en /api/*.
  • Plataforma de aprendizaje en /curso/ y /panel/.
  • Pasarelas de pago en /api/mp/* y flujos de checkout.
  • Infraestructura de email transaccional.

Fuera de alcance (out-of-scope)

  • Servicios de terceros (Mercado Pago, Hostinger, Meta).
  • Ataques de denegación de servicio (DoS / DDoS).
  • Ingeniería social a empleados o alumnos.
  • Fuerza bruta a sistemas de login (use rate-limit, no escala el reporte).
  • Vulnerabilidades en dependencias open-source ya reportadas upstream.
  • Auto-XSS sin impacto sobre terceros.

6. Reglas del programa

  • Realizá tests sólo en cuentas que vos creaste.
  • NO accedas, modifiques ni borres datos de otros usuarios.
  • NO degrades la disponibilidad del servicio.
  • Si tropezás con datos personales (alumnos, pagos), parálo y reportanos.
  • Mantenelo confidencial hasta que confirmemos el fix y autoricemos la publicación.
  • Cumplir con la Ley argentina y la jurisdicción del investigador.

7. Reconocimiento

Si tu reporte es válido y nuevo, te ofrecemos:

  • Hall of Fame: mención pública en esta página (con tu permiso).
  • Crédito de academia: acceso gratuito a un curso de tu elección.
  • Carta de reconocimiento firmada por la dirección.

En este momento no operamos un bug bounty con pagos en USD. Si crecemos a un programa formal, los reportes históricos serán tenidos en cuenta.

8. Hall of fame

Próximamente listaremos públicamente a quienes nos ayudaron a mejorar. Si reportaste algo y querés aparecer (o ser anónimo), avisanos.

9. Controles de seguridad implementados

Para transparencia, estos son los controles principales que aplicamos hoy:

  • Sesiones HttpOnly con SameSite Lax / Strict y rotación al login.
  • Tokens de acceso a cursos firmados con HMAC-SHA256.
  • Webhook de Mercado Pago verificado con firma HMAC.
  • Rate-limit por IP y por usuario en endpoints sensibles.
  • Headers HTTP de seguridad: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
  • Content-Security-Policy con nonces (en migración) y reporte de violaciones.
  • Defensa en profundidad con .htaccess bloqueando rutas técnicas.
  • Escritura atómica + flock + backups corruptos en JSON storage.
  • Backups diarios automatizados.
  • Logging estructurado y auditoría de acciones admin.
  • 2FA obligatorio para administradores (TOTP).

10. Marco normativo

Operamos respetando:

  • Ley 25.326 de Protección de Datos Personales (Argentina).
  • Ley 26.388 de Delitos Informáticos (Argentina).
  • Reglamento General de Protección de Datos (GDPR) de la UE para usuarios europeos.
  • RFC 9116 (security.txt) y mejores prácticas OWASP.
Volver al inicio Reportar una vulnerabilidad