Crate.tf

Crate.tf

Política de divulgación responsable

Fecha de vigencia: 28 de enero de 2026

Aviso de traducción

Esta traducción se proporciona para su comodidad. Si hay algún conflicto o diferencia de significado, prevalece la versión en inglés.

Crate.tf (“nosotros”, “nos”, “nuestro”) valora la seguridad de nuestros usuarios y nuestro Servicio. Si descubre una vulnerabilidad de seguridad, agradecemos que nos informe de manera responsable y de buena fe para que podamos solucionarla.

Esta política describe cómo informar vulnerabilidades y lo que le pedimos que haga (y que no haga) durante las pruebas.

1) Alcance

Esta política se aplica a las vulnerabilidades de seguridad que afectan:

  • Crate.tf (sitio web, API/puntos finales y servicios backend)
  • Infraestructura Crate.tf que soporta directamente el Servicio
  • Orquestación de intercambios de Crate.tf (incluida la planificación de transacciones y lógica de reserva)
  • Integración del bot propiedad de Crate.tf expuesta a través de nuestro Servicio (no del propio Steam)

Fuera de alcance (ejemplos): Fuera de alcance

  • Vulnerabilidades en los sistemas Steam/Valve o el cliente Steam
  • Problemas en servicios de terceros que no controlamos (infórmalos al proveedor)
  • Ataques de ingeniería social contra usuarios o personal
  • Ataques físicos, ataques a centros de datos o compromiso de dispositivos
  • "Vulnerabilidades" que requieren que usted tenga credenciales válidas que no posee
  • Spam, XSS propio o problemas puramente teóricos sin un impacto de seguridad demostrable

Si no estás seguro de si algo está dentro del alcance, repórtalo igualmente; nosotros te lo confirmaremos.

2) Cómo reportar una vulnerabilidad

Por favor informe problemas a:

  • Correo electrónico: support@crate.tf
  • Línea de asunto: Informe de seguridad: breve descripción

Si no es posible enviar un correo electrónico, puede comunicarse con nosotros a través de nuestro canal de soporte oficial Discord, pero se prefiere el correo electrónico para detalles confidenciales.

Incluye la mayor cantidad de información posible:

  • Una descripción clara del problema y por qué es importante.
  • Pasos para reproducir (la prueba de concepto es útil)
  • URL/puntos finales afectados, parámetros y cualquier muestra de solicitud/respuesta relevante
  • Evaluación de impacto (¿qué podría hacer un atacante?)
  • Capturas de pantalla o registros si son relevantes
  • Su información de contacto preferida (y si desea crédito público)

3) Puerto seguro para la investigación de seguridad de buena fe

No emprenderemos acciones legales contra usted por una investigación de seguridad responsable y de buena fe que cumpla con esta política.

Para calificar para puerto seguro, debe:

  • Haga un esfuerzo de buena fe para evitar violaciones de la privacidad, destrucción de datos e interrupción del servicio.
  • Deje de realizar pruebas e informe de inmediato una vez que confirme una vulnerabilidad
  • No utilizar la vulnerabilidad para obtener una ventaja injusta (incluida la obtención de objetos) o dañar a otros.
  • No divulgar públicamente los detalles antes de que hayamos tenido una oportunidad razonable de solucionarlos.

Este puerto seguro no se aplica a:

  • Cualquier actividad destinada a extorsionar, amenazar o chantajear.
  • Intentos de acceder o modificar datos que no son suyos.
  • Cualquier prueba que degrade, interrumpa o niegue el servicio a los usuarios.
  • Cualquier prueba dirigida a sistemas de terceros (Steam/Valve) o que viole sus reglas

4) Lo que te pedimos que NO hagas

Para proteger a los usuarios y al Servicio, no haga lo siguiente:

  • Acceder, descargar o divulgar datos personales o datos de otros usuarios
  • Intentar interceptar o modificar las transacciones de otros usuarios.
  • Explotar vulnerabilidades para obtener artículos, llaves o cualquier ventaja de TF2
  • Realice análisis automatizados, fuerza bruta, relleno de credenciales o pruebas de denegación de servicio.
  • Utilizar bots/scripts para saturar endpoints, consultas de estado o endpoints de precios/catálogos
  • Revelar públicamente las vulnerabilidades antes de que las reconozcamos y las solucionemos.
  • Personal o usuarios de ingenieros sociales, o intentar obtener acceso privilegiado.

5) Pautas de prueba (lo que ESTÁ permitido)

Generalmente consideramos aceptable lo siguiente de buena fe:

  • Pruebas con su propia cuenta y sus propios datos
  • Demostraciones mínimas de prueba de concepto que muestran el impacto sin dañar a otros.
  • Informar problemas con detalles adecuados para que podamos reproducirlos y solucionarlos

Si necesita una cuenta de prueba o desea coordinar una prueba controlada, contáctenos primero.

6) Nuestro proceso y respuesta

Nuestro objetivo es:

  • Acuse de recibo de su denuncia en un plazo razonable
  • Investigar y trabajar en una solución
  • Realice un seguimiento con actualizaciones de estado cuando sea práctico
  • Darle crédito públicamente si lo solicita y si es apropiado (opcional)

Debido a que Crate.tf es un proyecto pequeño, los plazos pueden variar. Se priorizarán las vulnerabilidades de alto impacto.

7) Confidencialidad y divulgación pública

Mantenga la confidencialidad de los detalles de la vulnerabilidad hasta que:

  • Confirmamos que el problema está solucionado, o
  • Le decimos que está bien revelarlo, o
  • Ha pasado un tiempo prudencial y no hemos respondido (contáctanos nuevamente antes de publicar)

Si planea publicar, preferimos una divulgación coordinada con un breve artículo centrado en las lecciones aprendidas y la remediación, no en detalles de explotación.

8) Sin recompensa por errores

Actualmente, Crate.tf no ejecuta un programa pago de recompensas por errores. Sin embargo, podemos ofrecer agradecimientos no monetarios (crédito público) a nuestra discreción.

9) Contacto

support@crate.tf (preferido)

Canal de soporte Discord (secundario)