MIGA LAB

Política de seguridad

Reporte responsable de vulnerabilidades

Última actualización 4 de mayo de 2026 · Vigente

Cómo reportar

Si encontrás una vulnerabilidad en este sitio o en cualquier servicio operado bajo el dominio migalab.com.ar, escribinos a [email protected] con el detalle técnico y los pasos para reproducir el hallazgo.

El archivo machine-readable según la RFC 9116 está publicado en /.well-known/security.txt.

Qué incluir en el reporte

  • URL afectada y descripción del problema.
  • Pasos para reproducirlo, incluyendo navegador o herramienta usada.
  • Captura, video o request capturada si aplica.
  • Tu identidad o seudónimo para reconocimiento si querés que figure.

Tiempos de respuesta

Confirmamos la recepción del reporte en menos de cuarenta y ocho horas hábiles. Damos una primera evaluación técnica en cinco días hábiles. Te avisamos cuando el problema esté mitigado o resuelto.

Reglas del juego

  • No realices pruebas que afecten la disponibilidad del sitio ni de servicios de clientes.
  • No accedas a datos que no te pertenezcan ni los descargues, alterés o publiques.
  • No uses ingeniería social contra clientes o personal.
  • No divulgues públicamente la vulnerabilidad antes de coordinar la mitigación con nosotros.

Si jugás dentro de estas reglas, comprometemos buena fe y no iniciamos acciones legales por la investigación.

Fuera de alcance

  • Vulnerabilidades en infraestructura de Cloudflare, GitHub o Google. Reportalas directamente al proveedor.
  • Reportes automatizados que no demuestren impacto explotable.
  • Falta de cabeceras opcionales sin demostración de impacto.
  • Spam de formularios públicos.

Compensación

Por el momento no contamos con un programa de bug bounty con recompensa monetaria. Reconocemos públicamente a quienes reportan vulnerabilidades válidas en la sección de agradecimientos, salvo que el reportante prefiera permanecer anónimo.

Agradecimientos

Pendiente. Acá vamos a listar a quienes nos hayan ayudado a mejorar la seguridad del sitio.

Medidas de seguridad implementadas

  • HTTPS obligatorio con HSTS preload activo.
  • Cabeceras de seguridad estrictas, incluyendo CSP, X-Frame-Options y Permissions-Policy.
  • Firewall en el edge ejecutado por Cloudflare Pages Functions.
  • Bloqueo de scanners y user-agents de auditoría no autorizada.
  • Bloqueo de paths de ataque conocidos contra plataformas que no usamos, como WordPress.
  • Bloqueo geográfico de regiones con tráfico abusivo persistente.
  • Límite de tamaño de payload en POST.
  • Repositorio en Git con auditoría de cambios y deploy reproducible.