Security Hall of Fame

Última actualización: 2 de mayo de 2026.

1. Reconocimiento

Vexakon agradece públicamente a quienes reportan responsablemente vulnerabilidades de seguridad en nuestra infraestructura, código o productos cliente. Este registro es la página referenciada desde /.well-known/security.txt (RFC 9116).

2. Cómo reportar

Lee la política de divulgación responsable y envía tu reporte a anthonyalvarez@vexakon.com con asunto que empiece por [security]. Respondemos en menos de 24 horas laborables.

Si tienes clave PGP, puedes cifrar el reporte usando la clave pública en /.well-known/security-pubkey.asc.

3. Reconocimientos públicos

Aún no hay reportes confirmados. Esta sección se actualizará con el consentimiento explícito de cada investigadora/investigador, e incluirá nombre o handle, fecha aproximada del reporte y categoría de la vulnerabilidad (sin detalles técnicos).

• (en blanco · listado público comienza con el primer reporte confirmado)

4. Bug bounty

No tenemos un programa monetario activo, pero ofrecemos:

• Reconocimiento público en este hall of fame (con tu permiso).
• Comunicación honesta sobre el estado del fix y plazo.
• Crédito en el commit de remediación si la naturaleza del fix lo permite.
• Para reportes excepcionales, valoramos la posibilidad de compensación caso por caso (decisión del operador en función de impacto y esfuerzo de la investigación).

5. Reglas de divulgación

El detalle de scope, plazos y reglas anti-abuso está en la política de divulgación responsable. En resumen:

• NO publicar la vulnerabilidad hasta acuerdo bilateral sobre el plazo (típicamente 90 días o tras release del fix · lo que ocurra antes).
• NO ejecutar pruebas que dañen datos o disrupcionen el servicio.
• NO acceder a datos de terceros · usar cuentas de prueba propias o coordinar con nosotros.