Seguridad y reporte de vulnerabilidades.

Última actualización: 15 de mayo de 2026

En Olunae aplicamos seguridad por diseño: minimizamos la superficie de datos personales, validamos toda entrada y reducimos al mínimo el código que llega al navegador. Esta política explica cómo reportar una vulnerabilidad de forma responsable, qué plazos manejamos y qué protecciones ofrecemos a las personas investigadoras que actúan de buena fe.

1. Cómo reportar una vulnerabilidad

Utiliza uno de los canales privados descritos a continuación. No abras issues, pull requests, discussions ni publicaciones públicas con detalles del hallazgo: la divulgación pública antes del despliegue del parche pone en riesgo a otras personas usuarias.

Correo a seguridad@olunae.com — canal primario para cualquier hallazgo técnico de seguridad.
Correo a legal@olunae.com — escalado legal (DMCA, propiedad intelectual, takedowns, comunicaciones formales LSSI-CE).
Comunicación cifrada — solicita por correo la clave PGP pública y te la facilitaremos antes de enviar cualquier material sensible.

Qué incluir en el reporte

Descripción de alto nivel del problema.
Superficie afectada (ruta pública, página, formulario, comportamiento observable).
Pasos mínimos para reproducir el comportamiento.
Evaluación de impacto (exposición de datos, abuso, integridad, disponibilidad) y, opcionalmente, estimación CVSS v3.1.
Mitigación sugerida si tienes propuesta.
Canal de contacto para seguimiento.

No incluyas credenciales en vigor, volcados con cookies de personas usuarias reales ni datos personales de terceros en el correo. Si el material es sensible, solicita primero la clave PGP.

2. Conducta responsable

Te pedimos que las pruebas sean proporcionadas al objetivo: confirmar la existencia del problema, no escalarlo. Las siguientes pautas son condición de participación en este programa:

Detén las pruebas en cuanto tengas una prueba de concepto viable.
No extraigas, modifiques ni destruyas datos que no sean tuyos.
No ejecutes escáneres automatizados a alta cadencia contra el tráfico de producción.
No utilices hallazgos para acceder a sistemas más allá de lo estrictamente necesario para demostrarlos.
Respeta en todo momento la legislación española y europea aplicable (ver sección 6).

Cláusula de buena fe. Las pruebas realizadas siguiendo estas normas y dentro del alcance descrito en la sección 4 no serán perseguidas legalmente por Olunaeconforme a la legislación española y europea sobre seguridad informática y divulgación responsable.

3. Plazos de respuesta

Operamos con divulgación coordinada. Trabajamos contigo dentro del siguiente calendario, contado desde la recepción de tu reporte:

Fase	Plazo objetivo
Acuse de recibo	Menos de 72 horas
Triaje y clasificación de severidad	Menos de 7 días hábiles
Solución de problemas críticos (CVSS ≥ 9,0)	Menos de 14 días
Solución de problemas altos (CVSS 7,0–8,9)	Menos de 30 días
Solución de problemas medios y bajos	Mejor esfuerzo
Divulgación pública coordinada	Tras el despliegue del parche

FaseAcuse de recibo

Plazo objetivoMenos de 72 horas

FaseTriaje y clasificación de severidad

Plazo objetivoMenos de 7 días hábiles

FaseSolución de problemas críticos (CVSS ≥ 9,0)

Plazo objetivoMenos de 14 días

FaseSolución de problemas altos (CVSS 7,0–8,9)

Plazo objetivoMenos de 30 días

FaseSolución de problemas medios y bajos

Plazo objetivoMejor esfuerzo

FaseDivulgación pública coordinada

Plazo objetivoTras el despliegue del parche

Por defecto seguimos un periodo de divulgación pública de 90 días naturales desde el acuse de recibo, o antes si el parche ya está desplegado en producción. Cuando consientes expresamente, citamos tu autoría en las notas de versión del parche.

4. Alcance del programa

El programa cubre las superficies que Olunae controla directamente. Para problemas en plataformas de terceros, contacta al proveedor correspondiente bajo su propio programa.

Dentro del alcance

El código de la aplicación publicada en olunae.com y olunae.es.
Rutas públicas de API expuestas por la aplicación.
Páginas programáticas publicadas bajo /problema/ y /mejores-…
Archivos de configuración de build y despliegue versionados en el repositorio.

Fuera del alcance

Plataformas de terceros (Vercel, Neon, Cloudflare, Upstash, Google, GitHub) — reporta directamente al proveedor.
Vulnerabilidades dentro de dependencias de terceros — reporta primero upstream; aplicaremos el parche cuando exista corrección.
Ingeniería social o intentos de phishing contra el equipo operativo.
Ataques físicos o que requieran un dispositivo de la persona usuaria ya comprometido.
Ataques volumétricos contra infraestructura compartida que no podamos mitigar.
Hallazgos basados únicamente en cabeceras ausentes sin un vector de explotación concreto.
Vulnerabilidades que requieran controlar una cuenta privilegiada inexistente — el servicio no opera con cuentas, autenticación ni sesiones.

5. Postura de seguridad

Esta sección es deliberadamente de alto nivel. Los umbrales numéricos, identificadores internos y procedimientos operativos no se publican aquí: se comparten contigo durante un reporte activo si la revisión lo requiere.

HTTPS extremo a extremo con HSTS, dominios canónicos forzados y cabeceras de seguridad endurecidas (X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP, CORP).
Componentes de servidor por defecto: el navegador recibe el mínimo indispensable de JavaScript.
Toda Server Action se valida con un esquema de tipos estricto en la entrada.
El clasificador de imagen emite únicamente categorías cerradas, nunca texto libre, dentro del marco del Reglamento (UE) 2024/1689 (AI Act).
Desafío anti-bot en el endpoint público más sensible y limitación por dirección IP en los endpoints calientes.
Las subidas de imagen se validan por tipo MIME, tamaño y firma binaria; las imágenes se procesan de forma efímera y no se almacenan como registros de persona usuaria.
Sin cuentas, sin sesiones, sin contraseñas: la superficie de datos personales se minimiza por diseño.
Análisis estático en cada push (tipos estrictos, linting, suite de pruebas automatizadas, escaneo de secretos y de vocabulario).
Alertas automáticas de dependencias y revisión humana ante vulnerabilidades upstream.

6. Marco legal aplicable

Olunae se opera desde España. La siguiente normativa rige el servicio y la actividad de divulgación responsable dirigida al mismo:

Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD).
Directiva 2002/58/CE — Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy), transpuesta a la legislación nacional.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Reglamento (UE) 2022/2065 — Reglamento de Servicios Digitales (DSA), cuando resulte aplicable al rol del servicio.
Reglamento (UE) 2024/1689 — Reglamento de Inteligencia Artificial (AI Act). El clasificador estético opera dentro del alcance no sanitario, sin identificación biométrica y con salida cerrada.
Agencia Española de Protección de Datos (AEPD) — autoridad de control competente en materia de protección de datos.

La política de privacidad completa está en /privacidad; las condiciones del servicio, en /terminos.

7. Reconocimientos

Olunae no opera actualmente un programa retribuido de recompensas (bug bounty). El reconocimiento a las personas investigadoras que aportan hallazgos válidos se produce mediante mención pública en las notas de versión del parche correspondiente, siempre con consentimiento expreso. Esta política puede evolucionar a medida que el servicio madura.

8. Contacto

Para reportar una vulnerabilidad o cualquier cuestión relativa a esta política, escribe a:

seguridad@olunae.com

Canales adicionales

Escalado legal: legal@olunae.com
Reporte de abuso o uso indebido del servicio: abuse@olunae.com
Privacidad y derechos RGPD: /privacidad
Procedimiento de eliminación de datos: /eliminacion-datos
Archivo legible por máquina (RFC 9116): /.well-known/security.txt