NINOLEGAL
Confianza/Divulgación responsable
Volver al inicio
Seguridad y cumplimiento

Divulgación responsable de vulnerabilidades

Última actualización2 de junio de 2026
ModeloDivulgación coordinada
IdiomaEnglish version
Contactocontacto@ninolegal.com

En Nino Legal (antes ArchivosYa) tomamos la seguridad en serio. Si sos investigador/a de seguridad o usuario/a y detectás una vulnerabilidad, esta página explica cómo reportarla de forma segura. Agradecemos la investigación hecha de buena fe. Read this policy in English.

Sección 01

Nuestro compromiso

Valoramos el trabajo de la comunidad de seguridad para proteger a nuestros usuarios. Nos comprometemos a tratar cada reporte con seriedad y a corregir los problemas confirmados con la mayor rapidez razonable.

Puerto seguro (safe harbor)

No iniciaremos acciones legales contra quienes investiguen de buena fe, respeten esta política, no afecten la privacidad de otros usuarios y nos den un plazo razonable para corregir antes de divulgar. Si actuás dentro de estos límites, consideramos tu investigación autorizada.

Sección 02

Alcance

Qué sistemas están incluidos en esta política y cuáles no.

  • En alcance: ninolegal.com y sus subdominios (incluido static-files.ninolegal.com), la aplicación web y sus APIs. Durante la transición de marca, también archivosya.com.
  • Fuera de alcance: la infraestructura de nuestros proveedores y subprocesadores (Auth0, OpenAI, Microsoft Azure, MongoDB Atlas, Mercado Pago, SendGrid, Sentry, entre otros). Reportá esos hallazgos directamente a cada proveedor.
  • Quedan excluidos: ataques de denegación de servicio (DoS/DDoS), hallazgos que requieran acceso físico o ingeniería social, y reportes basados únicamente en la versión de un software sin un impacto demostrable.
Sección 03

Cómo reportar

Enviá tu reporte por correo a contacto@ninolegal.com. Para ayudarnos a reproducir y priorizar, incluí:

  • Una descripción clara de la vulnerabilidad y su impacto.
  • Pasos detallados para reproducirla.
  • La URL, el endpoint o el componente afectado.
  • Si es posible, una prueba de concepto (capturas, requests o un video corto).
Idioma

Podés escribirnos en español o en inglés.

Sección 04

Reglas para investigadores

Para mantener la investigación dentro del puerto seguro, te pedimos que:

  • No accedas, modifiques ni elimines datos que no sean tuyos. Usá cuentas de prueba propias.
  • No realices ataques de denegación de servicio ni pruebas que degraden el servicio para otros usuarios.
  • No hagas ingeniería social a nuestro equipo, usuarios o proveedores, ni pruebas de seguridad física.
  • No uses escáneres automáticos agresivos contra producción.
  • Respetá la privacidad: si te topás con datos personales, no los copies ni los compartas, y avisanos de inmediato.
Sección 05

Qué podés esperar de nosotros

  • Acuse de recibo en un plazo de hasta 5 días hábiles.
  • Evaluación y priorización del reporte según su severidad.
  • Comunicación sobre el progreso y la corrección.
  • Aviso cuando el problema esté resuelto.
Sección 06

Divulgación coordinada

Te pedimos que no divulgues públicamente la vulnerabilidad hasta que la hayamos corregido o hayamos acordado una fecha de publicación. Como referencia trabajamos con un plazo de 90 días desde el reporte; si necesitamos más tiempo, lo coordinamos con vos de forma transparente.

Sección 07

Reconocimiento

Por el momento no ofrecemos recompensas económicas (no tenemos un programa de bug bounty pago). Sin embargo, con tu permiso, damos crédito público a quienes reportan vulnerabilidades válidas como agradecimiento por su contribución.

Sección 08

Contacto

Para reportes de seguridad escribinos a contacto@ninolegal.com. Podés revisar también nuestros controles de seguridad.