Programa de Divulgacion Responsable de Vulnerabilidades
Ultima actualizacion: 5 de abril de 2026
1. Introduccion
ZATO I.A SAS (en adelante, "ZATO") valora la seguridad de sus sistemas, sus datos y los de sus usuarios. Reconocemos el papel fundamental que desempenan los investigadores de seguridad independientes en la proteccion del ecosistema digital.
Agradecemos sinceramente a quienes reportan vulnerabilidades de forma responsable. Este programa describe como reportar una vulnerabilidad de seguridad en nuestros sistemas, que puede esperar de nosotros y cuales son las reglas de participacion.
2. Alcance
Los siguientes activos y servicios estan cubiertos por este programa:
- zatoautopilotbot.com y sus subdominios (api.zatoautopilotbot.com, app.zatoautopilotbot.com).
- API REST de ZATO Autopilot Bot.
- Panel de control (dashboard) de tenants.
- Integraciones con canales de mensajeria (WhatsApp Business, Facebook Messenger, Instagram Direct).
3. Fuera de Alcance
Los siguientes elementos no estan cubiertos por este programa:
- Plataformas de terceros (Meta, WhatsApp, Google) y sus propias vulnerabilidades.
- Ataques de denegacion de servicio (DoS/DDoS).
- Ingenieria social contra empleados o usuarios de ZATO.
- Ataques fisicos contra la infraestructura.
- Spam o envio masivo no autorizado.
- Vulnerabilidades en software de terceros que no afecten directamente a los sistemas de ZATO.
4. Como Reportar
Si ha descubierto una vulnerabilidad de seguridad en alguno de los activos dentro del alcance, le pedimos que nos lo comunique de forma responsable enviando un reporte a:
Correo de reporte: [email protected]
Asunto: Reporte de Vulnerabilidad - [Breve descripcion]
Su reporte debe incluir la siguiente informacion:
- Descripcion detallada de la vulnerabilidad encontrada.
- Pasos para reproducir el problema de forma clara y secuencial.
- Impacto potencial que podria tener la vulnerabilidad si fuese explotada.
- Evidencia (capturas de pantalla, logs, videos) — sin incluir datos reales de usuarios.
- Herramientas utilizadas durante la investigacion (si aplica).
5. Que Esperamos del Investigador
Para participar en este programa de forma responsable, le pedimos que cumpla con las siguientes reglas:
- NO explotar la vulnerabilidad mas alla de lo estrictamente necesario para demostrar su existencia.
- NO acceder, modificar o eliminar datos de otros usuarios.
- NO realizar ataques destructivos (DoS, eliminacion masiva de datos, etc.).
- NO divulgar publicamente la vulnerabilidad antes de que haya sido corregida.
- Dar a ZATO un plazo razonable (minimo 90 dias) para corregir la vulnerabilidad antes de cualquier divulgacion publica.
- Actuar de buena fe y conforme a la ley en todo momento.
6. Nuestro Compromiso
ZATO se compromete a:
- Acusar recibo del reporte en un plazo maximo de 3 dias habiles.
- Mantener al investigador informado del progreso de la investigacion y la remediacion.
- Corregir vulnerabilidades verificadas en un plazo razonable segun su severidad (ver seccion 7).
- No emprender acciones legales contra investigadores que actuen de buena fe y conforme a las reglas de este programa.
- Reconocer publicamente al investigador (si este lo desea) en un eventual "Hall of Fame" de seguridad.
7. Clasificacion de Severidad
Las vulnerabilidades reportadas seran clasificadas segun la siguiente tabla de severidad, que determina los plazos de correccion:
| Severidad | Descripcion | Plazo de correccion |
|---|
| Critica | Acceso no autorizado a datos, ejecucion remota de codigo, bypass de autenticacion | 24-72 horas |
| Alta | Inyeccion SQL, XSS almacenado, escalacion de privilegios | 7 dias |
| Media | CSRF, XSS reflejado, divulgacion de informacion no sensible | 30 dias |
| Baja | Configuraciones suboptimas, headers de seguridad faltantes | 90 dias |
8. Exclusiones
Los siguientes hallazgos no se consideran vulnerabilidades validas bajo este programa:
- Versiones desactualizadas de software sin un exploit funcional demostrado.
- Ausencia de headers HTTP no criticos (por ejemplo, X-Frame-Options en paginas sin contenido sensible).
- Politicas de contrasenas que ya estan documentadas y son parte del diseno actual.
- Resultados de escaneos automatizados (Nessus, Qualys, etc.) sin validacion manual ni demostracion de impacto real.
9. Recompensas
Actualmente, ZATO no ofrece recompensas monetarias (bug bounty) por el reporte de vulnerabilidades. Agradecemos sinceramente cada reporte valido y ofrecemos reconocimiento publico para los investigadores que lo deseen.
Nos reservamos el derecho de implementar un programa formal de recompensas en el futuro, lo cual sera anunciado a traves de nuestros canales oficiales.
10. Contacto
Para reportar una vulnerabilidad o realizar consultas sobre este programa: