QONIAR

Seguridad y reporte de vulnerabilidades.

Última actualización: 29 de mayo de 2026

En Qoniar aplicamos seguridad por diseño: minimizamos la superficie de datos personales, validamos toda entrada y reducimos al mínimo el código que llega al navegador. Esta política explica cómo reportar una vulnerabilidad de forma responsable, qué plazos manejamos y qué protecciones ofrecemos a las personas investigadoras que actúan de buena fe.

1. Cómo reportar una vulnerabilidad

Utiliza uno de los canales privados descritos a continuación. No abras issues, pull requests, discussions ni publicaciones públicas con detalles del hallazgo: la divulgación pública antes del despliegue del parche pone en riesgo a otras personas usuarias.

Correo de seguridad

Canal primario para cualquier hallazgo técnico. Escribe a seguridad@qoniar.com con el detalle del problema.

Escalado legal

Para asuntos como DMCA, propiedad intelectual, retiradas de contenido o comunicaciones formales LSSI-CE, escribe a legal@qoniar.com.

Comunicación cifrada

Solicita por correo la clave PGP pública y te la facilitaremos antes de enviar cualquier material sensible.

Qué incluir en el reporte

  • Descripción de alto nivel del problema.
  • Superficie afectada (ruta pública, página, formulario, comportamiento observable).
  • Pasos mínimos para reproducir el comportamiento.
  • Evaluación de impacto (exposición de datos, abuso, integridad, disponibilidad) y, opcionalmente, estimación CVSS v3.1.
  • Mitigación sugerida si tienes propuesta.
  • Canal de contacto para seguimiento.

No incluyas credenciales en vigor, volcados con cookies de personas usuarias reales ni datos personales de terceros en el correo. Si el material es sensible, solicita primero la clave PGP.

2. Conducta responsable

Te pedimos que las pruebas sean proporcionadas al objetivo: confirmar la existencia del problema, no escalarlo. Las siguientes pautas son condición de participación en este programa:

Detén las pruebas en cuanto tengas una prueba de concepto viable.
No extraigas, modifiques ni destruyas datos que no sean tuyos.
No ejecutes escáneres automatizados a alta cadencia contra el tráfico de producción.
No utilices hallazgos para acceder a sistemas más allá de lo estrictamente necesario para demostrarlos.
Respeta en todo momento la legislación española y europea aplicable (ver sección 6).

Cláusula de buena fe

Las pruebas realizadas siguiendo estas normas y dentro del alcance descrito en la sección 4 no serán perseguidas legalmente por Qoniar conforme a la legislación española y europea sobre seguridad informática y divulgación responsable.

3. Plazos de respuesta

Operamos con divulgación coordinada. Trabajamos contigo dentro del siguiente calendario, contado desde la recepción de tu reporte:

FaseAcuse de recibo
Plazo objetivoMenos de 72 horas
FaseTriaje y clasificación de severidad
Plazo objetivoMenos de 7 días hábiles
FaseSolución de problemas críticos (CVSS ≥ 9,0)
Plazo objetivoMenos de 14 días
FaseSolución de problemas altos (CVSS 7,0 a 8,9)
Plazo objetivoMenos de 30 días
FaseSolución de problemas medios y bajos
Plazo objetivoMejor esfuerzo
FaseDivulgación pública coordinada
Plazo objetivoTras el despliegue del parche

Periodo de divulgación

Por defecto seguimos un periodo de divulgación pública de 90 días naturales desde el acuse de recibo, o antes si el parche ya está desplegado en producción. Cuando consientes expresamente, citamos tu autoría en las notas de versión del parche.

4. Alcance del programa

El programa cubre las superficies que Qoniar controla directamente. Para problemas en plataformas de terceros, contacta al proveedor correspondiente bajo su propio programa.

Dentro del alcance

El código de la aplicación publicada en qoniar.com y qoniar.es.
Rutas públicas de API expuestas por la aplicación (por ejemplo, el redirector de enlaces de afiliado).
Páginas programáticas publicadas bajo /herramientas/, /comparativas/, /mejores/, /tutoriales/ y /categorias/.
Archivos de configuración de build y despliegue versionados en el repositorio.

Fuera del alcance

Plataformas de terceros (Vercel, Neon, Cloudflare, Upstash, Google, GitHub): reporta directamente al proveedor.
Vulnerabilidades dentro de dependencias de terceros: reporta primero upstream; aplicaremos el parche cuando exista corrección.
Ingeniería social o intentos de phishing contra el equipo operativo.
Ataques físicos o que requieran un dispositivo de la persona usuaria ya comprometido.
Ataques volumétricos contra infraestructura compartida que no podamos mitigar.
Hallazgos basados únicamente en cabeceras ausentes sin un vector de explotación concreto.
Vulnerabilidades que requieran controlar una cuenta privilegiada inexistente: el servicio no opera con cuentas, autenticación ni sesiones.

5. Postura de seguridad

Esta sección es deliberadamente de alto nivel. Los umbrales numéricos, identificadores internos y procedimientos operativos no se publican aquí: se comparten contigo durante un reporte activo si la revisión lo requiere.

HTTPS extremo a extremo

HSTS, dominios canónicos forzados y cabeceras de seguridad endurecidas (X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP, CORP).

Componentes de servidor por defecto

El navegador recibe el mínimo indispensable de JavaScript, lo que reduce la superficie expuesta en el cliente.

Validación estricta de entradas

Toda Server Action valida su entrada con un esquema de tipos estricto antes de procesarla.

IA acotada al servidor

El uso de IA se limita a generar contenido editorial del lado del servidor con salida estructurada; no procesa datos personales del visitante ni produce texto libre hacia el usuario final, dentro del marco del Reglamento (UE) 2024/1689 (AI Act).

Desafío anti-bot y límite por IP

Aplicamos verificación anti-bot y limitación por dirección IP en los endpoints públicos más sensibles.

Superficie de datos minimizada

Sin cuentas, sin sesiones, sin contraseñas ni subida de archivos: la superficie de datos personales se minimiza por diseño.

Análisis estático en cada push

Tipos estrictos, linting, suite de pruebas automatizadas, escaneo de secretos y de vocabulario en cada cambio.

Alertas de dependencias

Alertas automáticas de dependencias y revisión humana ante vulnerabilidades upstream.

6. Marco legal aplicable

Qoniar se opera desde España. La siguiente normativa rige el servicio y la actividad de divulgación responsable dirigida al mismo:

Reglamento (UE) 2016/679: Reglamento General de Protección de Datos (RGPD).
Directiva 2002/58/CE: Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy), transpuesta a la legislación nacional.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Reglamento (UE) 2022/2065: Reglamento de Servicios Digitales (DSA), cuando resulte aplicable al rol del servicio.
Reglamento (UE) 2024/1689: Reglamento de Inteligencia Artificial (AI Act). El uso de IA en Qoniar se limita a asistir la redacción de contenido editorial, sin tratamiento de datos personales del usuario ni identificación biométrica.
Agencia Española de Protección de Datos (AEPD): autoridad de control competente en materia de protección de datos.

La política de privacidad completa está en Política de privacidad; las condiciones del servicio, en Términos de uso. El procedimiento de eliminación de datos vive en Eliminación de datos.

7. Archivo legible por máquina

security.txt conforme a RFC 9116

Publicamos un archivo legible por máquina con el canal de contacto de seguridad, conforme a la RFC 9116. Las herramientas automatizadas y las personas investigadoras pueden consultarlo en /.well-known/security.txt.

8. Reconocimientos

Mención pública, no recompensa retribuida

Qoniar no opera actualmente un programa retribuido de recompensas (bug bounty). El reconocimiento a las personas investigadoras que aportan hallazgos válidos se produce mediante mención pública en las notas de versión del parche correspondiente, siempre con consentimiento expreso. Esta política puede evolucionar a medida que el servicio madura.

¿Has encontrado una vulnerabilidad?

Repórtala de forma responsable y trabajaremos contigo dentro de los plazos de esta política. Para hallazgos técnicos puedes escribir directamente a seguridad@qoniar.com, o usar el formulario de contacto. El escalado legal va a legal@qoniar.com y el abuso del servicio a abuse@qoniar.com.