Tipos y niveles de feedback

Publicado el 4 ago 2025Actualizado el 26 sept 2025Lectura de 15 min

Después de haber enviado su feedback, los usuarios deben esperar los resultados de la revisión. Cuando los usuarios aprueben los resultados de la revisión, recibirán la recompensa del nivel correspondiente. Nota: este programa de recompensas solo está disponible para los usuarios que formen parte de la lista blanca.

Plantilla para informes sobre vulnerabilidades

  1. Paquete o URL de la solicitud de vulnerabilidad (en texto, no con capturas de pantalla) o pasos de la operación (p. ej., Ajustes -> Información personal -> Problema al cargar imágenes).

  2. Carga de la vulnerabilidad.

  3. Prueba del riesgo de vulnerabilidad (evaluado según niveles de riesgo).

Defectos y sugerencias

Errores graves (100 USDT)

  1. No se pueden llevar a cabo funciones importantes (p. ej., no se completan algunas transacciones o no se pueden crear las órdenes).

  2. El error se extiende y afecta a las operaciones normales de otras funciones importantes.

  3. Caídas, congelaciones y bucles infinitos causados por operaciones no convencionales en la aplicación (p. ej., operaciones que los usuarios no completan al utilizar el software).

  4. Defectos que resultan inaceptables en apariencia (p. ej., la distorsión, compresión o deformación de una imagen).

  5. Problemas de seguridad que provocan una filtración de datos (p. ej., una filtración de información privada de la cuenta causada por ataques maliciosos).

Errores generales (30 USDT)

Defectos que no afectan a las operaciones de los productos ni causan fallos, pero que tienen un impacto bastante importante en el aspecto del producto o en los procesos siguientes.

  1. Las funciones secundarias no pueden realizarse con normalidad.

  2. Errores en la interfaz (p. ej., los nombres de las columnas y sus descripciones en la ventana de datos no son coherentes).

  3. Errores al consultar o mostrar los datos.

  4. Restricciones de entrada sencillas que no llegan a la interfaz para su control (p. ej., se debería activar en la interfaz la decisión sobre la visualización del formato en el inicio de sesión y en el registro).

Errores de visualización (10 USDT)

La visualización no es clara y no se corresponde con el comportamiento del usuario:

  1. La interfaz no está diseñada correctamente.

  2. No resulta clara la descripción o la instrucción de una función concreta.

Idioma

Problemas lingüísticos (10 USDT)

  1. Errores gramaticales en el texto de la interfaz de usuario.

  2. Puntuación errónea.

  3. Erratas.

  4. Contenido confuso.

Reglas y requisitos sobre los fallos de seguridad

Nuestro programa de recompensas por detectar fallos distingue cinco niveles de riesgo de seguridad: extremo, crítico, alto, medio y bajo. Ofrecemos una recompensa de hasta 1.000.000 USDT para incentivar a los hackers a ayudarnos a descubrir posibles vulnerabilidades. Con este sistema, esperamos construir un entorno de trading más estable y más fiable para todos los usuarios.

Nivel de riesgo

Las vulnerabilidades se clasifican en cinco niveles de riesgo en función de los posibles peligros: extremo, crítico, alto, medio y bajo. OKX evaluará la gravedad de una vulnerabilidad sobre la que se informe según los siguientes criterios:

Extremo (solo Web3)

Criterios: afecta a todos los usuarios, provoca un tiempo de inactividad superior a 60 minutos o puede generar una pérdida potencial superior a $500.000.

  • Filtraciones de datos a gran escala o afectación en masa de fondos o claves privadas con interacción cero.

Crítico

Web2

  • Ejecución remota de código (RCE por sus siglas en inglés): ejecución de código arbitrario en servidores de OKX.

  • Inyección de SQL (base de datos principal): acceso o modificación a gran escala en la base de datos de producción principal de OKX.

  • Usurpación del backend de administrador: obtención de privilegios de administrador críticos.

  • Usurpación masiva de cuentas: la toma sistemática de una gran parte de las cuentas de usuario que afecte, de forma general, a más del 50 % de los usuarios.

  • Ejecución de comandos del sistema: ejecutar comandos del sistema operativo en servidores.

Móvil

  • Ataques remotos contra vulnerabilidades: se compromete de forma remota la integridad de la aplicación o la ejecución del código en la infraestructura de OKX.

  • Filtración masiva de datos: acceso no autorizado a grandes volúmenes de datos de usuarios por fallos en la aplicación.

  • Usurpación de privilegios de administrador: obtención de acceso de administrador en el backend mediante vectores móviles.

  • Ejecución de comandos del sistema: ejecución de comandos del sistema operativo en los servidores de la aplicación.

  • Inyección SQL/NoSQL: ataque contra las vulnerabilidades de los puntos finales de la API móvil para manipular las solicitudes de la base de datos en el backend, lo que lleva a filtraciones o modificaciones masivas de datos confidenciales (información de identificación personal, información financiera, credenciales) o compromete el sistema de backend.

Clientes de escritorio

  • Ejecución remota de código (RCE por sus siglas en inglés): ejecución de código arbitrario en el cliente o en el servidor conectado mediante la aplicación de escritorio.

  • Usurpación de privilegios de administrador: obtención del control administrativo del backend a través del cliente (p. ej., mediante SSRF en el servidor).

  • Ejecución de comandos del sistema: ejecución de comandos del sistema operativo en el cliente o servidor de backend mediante configuraciones erróneas o manipulaciones no seguras de datos de entrada.

Web3

Criterios: afecta a más del 50 % de usuarios, provoca un tiempo de inactividad de más de 15 minutos o puede generar una pérdida potencial superior a $100.000.

  • Ataques remotos contra validadores/contratos o usurpaciones del rol de administrador.

Alto

Web2

  • Gusano de XSS almacenado: scripting de autorreplicación entre sitios web en páginas de usuario críticas.

  • CSRF (acciones críticas): CSRF que provoca que la cuenta quede comprometida o acciones no autorizadas sobre los activos.

  • Acceso a cuentas a gran escala: acceso no autorizado a múltiples cuentas de usuario debido a fallos en la lógica de autenticación o de autorización.

  • Inyección SQL (limitada): extracción de datos confidenciales concretos.

  • Filtración de código fuente: exposición de backend o de código fuente interno significativos.

  • SSRF (impacto contextual): SSRF que alcanza los servicios internos (la gravedad de los SSRF depende del impacto del acceso interno materializado).

Móvil

  • CSRF (acciones críticas): CSRF que provoca que la cuenta quede comprometida o acciones no autorizadas sobre los activos.

  • SSRF (impacto contextual): SSRF que accede a sistemas o servicios internos a través de puntos finales móviles.

  • Exposición de datos confidenciales: filtración de información cifrada o confidencial almacenada o procesada por la aplicación.

  • Interrupciones en las transacciones: fallos de la aplicación que interfieren con los flujos de trading, depósitos o retiros.

  • Fallos de tipo lógico (impacto sobre los fondos): ataque a vulnerabilidades en la lógica de la aplicación para manipular los saldos o realizar transacciones no autorizadas.

  • Filtración de código fuente: exposición significativa del código fuente de la aplicación.

  • Operaciones no autorizadas: realización de transacciones u operaciones financieras no autorizadas mediante el ataque contra vulnerabilidades de la aplicación.

Clientes de escritorio

  • CSRF (usurpación de cuenta o transferencias de fondos): solicitudes de cliente falsificadas que provocan acciones autentificadas de tipo crítico.

  • SSRF (impacto contextual): solicitudes falsificadas a los servicios internos desde la aplicación.

  • Exposición de datos confidenciales: exposición de semillas cifradas o de datos confidenciales locales a través de la funcionalidad de la aplicación.

  • Interrupciones en las transacciones: fallos en el lado del cliente que impiden realizar transacciones válidas de trading, depósito o retiro.

  • Fallos de tipo lógico (impacto sobre los fondos): la lógica del lado del cliente es utilizada para manipular los saldos de la cuenta o el comportamiento de sus transferencias.

Web3

Criterios: afecta a más del 30 % de usuarios, provoca un tiempo de inactividad de más de 10 minutos o puede generar una pérdida potencial superior a $50.000.

  • Problemas de validador, fallos de lógica de fondos o filtraciones de código.

Medio

Web2

  • XSS almacenado (interacción): scripting persistente entre sitios web que requiere de interacción por parte del usuario para activarse.

  • CSRF (negocio principal): CSRF dirigido contra acciones de negocio que no son de tipo crítico.

  • Bypass de autorización (limitado): acceso no autorizado al backend o a datos de usuarios sin impacto financiero.

  • Usurpación de subdominios: control de subdominios no usados con riesgos de tipo reputacional o de phishing.

  • Fallos en el código de verificación: debilidades en la lógica de verificación del inicio de sesión o del restablecimiento de contraseñas.

  • Exposición de datos confidenciales: divulgación de datos de usuario cifrados o internos a través de interfaces accesibles.

  • Credenciales de texto claro: credenciales incrustadas en el código fuente o archivos de configuración incrustados, excluyendo las claves de API.

Móvil

  • XSS almacenado (interacción): scripting persistente entre sitios web dentro de los componentes de la aplicación móvil que requiere de interacción por parte del usuario.

  • CSRF (negocio principal): falsificación de solicitudes entre sitios web dirigida contra una lógica de negocio que no es de tipo crítico.

  • Bypass de autorización (limitado): acceso no autorizado a datos de usuarios o a configuraciones sin impacto financiero.

  • Filtraciones de almacenamiento local: divulgación de datos confidenciales almacenados en la app, tales como tokens de sesión o credenciales cifradas.

  • Fallos de verificación: debilidades en el OTP (código de un solo uso), en el inicio de sesión o en los mecanismos de restablecimiento debido a una validación insuficiente o a la limitación del número de intentos.

  • Credenciales de texto claro: secretos incrustados en archivos de la aplicación, excluyendo las claves de API.

Clientes de escritorio

  • CSRF (negocio principal): falsificación de acciones de cliente no confidenciales, tales como cambios en los ajustes.

  • Bypass de autorización (limitado): obtención de acceso no autorizado a ajustes de usuario o a visualizaciones de cliente restringidas.

  • Filtraciones de almacenamiento local: exposición de datos vulnerables almacenados por el cliente, tales como tokens de sesión o secretos de autenticación, sin una protección ni un control de acceso adecuados.

  • Credenciales de texto claro: secretos incrustados (excluyendo las claves de API) integrados en los ajustes de cliente o binarios.

Web3

Criterios: requiere una interacción o tiene un alcance limitado.

  • Ataques contra vulnerabilidades de billetera basados en una interacción o interrupciones en transacciones.

Bajo

Web2

  • XSS reflejado: scripting no persistente entre sitios web en direcciones URL o en parámetros.

  • XSS DOM/Flash: scripting entre sitios web en el lado del cliente sin interacción con el backend.

  • Redireccionamientos abiertos: redireccionamiento de los usuarios a dominios externos sin validación.

  • Filtraciones de información general: exposición de rutas internas, directorios o interfaces de depuración.

  • CSRF común: CSRF dirigido contra acciones de usuario no confidenciales.

  • Manipulación de cabeceras HTTP: modificación de cabeceras con un impacto de nivel bajo, tales como el comportamiento del caché o los redireccionamientos.

Móvil

  • Exposición de componentes: exposición involuntaria de componentes de la aplicación, tales como actividades exportadas de Android o de servicios de iOS.

  • Redireccionamientos abiertos: redireccionamientos no validados en los flujos de la aplicación.

  • Problemas de cabeceras HTTP: manipulación menor de cabeceras con un impacto insignificante.

Clientes de escritorio

  • DoS local: provocar la ruptura de la aplicación de escritorio mediante archivos o entradas deformes.

  • Errores de configuración menor: exposición de archivos temporales o locales sin datos confidenciales y sin ataques contra vulnerabilidades de forma directa.

Web3

Criterios: impacto o vulnerabilidad mínimos.

  • Problemas de estabilidad de los nodos o filtraciones menores.

Pautas adicionales

  • IDOR: debe presentar una ruta de descubrimiento de identidad y no solo fuerza bruta.

  • Móvil: una única denuncia por cada vulnerabilidad en todas las plataformas (iOS/Android).

  • Duplicados: un mismo problema en varios activos equivale a una denuncia.

  • Los falsos positivos, los errores con bajo impacto sobre el negocio o los fallos no vulnerables no obtendrán una recompensa, pero sí pueden ser aceptados.

No admisibles

  • Denuncias a partir de herramientas o escaneos automatizados.

  • Inyección de SQL de falso positivo sin una prueba de concepto (PoC por sus siglas en inglés) que demuestre la extracción del nombre de usuario o de la base de datos.

  • Vulnerabilidades de spam, suplantación de correo, correo bomba, etc.

  • Self-XSS.

  • El uso de bibliotecas o componentes conocidos como vulnerables sin una prueba de concepto (PoC) operativa.

  • Ataques de "clickjacking" en páginas sin acciones de tipo confidencial.

  • Falsificación de solicitudes entre sitios web (CSRF) en formularios no autentificados o de bajo impacto.

  • Ataques que requieren MITM, rooting, jailbreaking o acceso físico al dispositivo de un usuario.

  • Bibliotecas vulnerables ya conocidas sin una PoC operativa.

  • Inyección de CSV sin demostrar el ataque a una vulnerabilidad.

  • Falta de buenas prácticas SSL/TLS (p. ej., cifrados débiles, versiones de protocolo).

  • Denegación de servicio (DoS) o intentos de interrupción del servicio.

  • Suplantación de contenido o inyección de texto sin modificación HTML/CSS ni vector de ataque.

  • Problemas de limitación de intentos o de fuerza bruta en puntos finales sin autenticación.

  • Falta de buenas prácticas sobre la política de seguridad de contenidos.

  • Falta de cookies HttpOnly o de seguridad.

  • Falta de registros SPF/DKIM/DMARC o falta de validez de los mismos.

  • Vulnerabilidades que afectan solo a navegadores obsoletos o sin parches (con una antigüedad superior a 2 versiones estables).

  • Divulgación de la versión del software, información del banner, rastreos de pila o errores de tipo verboso.

  • Días 0 públicos con parches lanzados hace menos de 1 mes (caso por caso).

  • Tabnabbing.

  • Vulnerabilidades que requieren de una amplia interacción por parte del usuario.

  • Vulnerabilidades ya conocidas por los equipos internos.

  • Recomendaciones de buenas prácticas (p. ej., sugerencias de fortalecimiento).

  • Vulnerabilidades relativas a WordPress.

  • Secuestro de DLL sin demostración de la escalada de privilegios.

  • Bypass del límite de intentos cambiando la dirección IP o la identidad del dispositivo.

  • Barras de direcciones, URL o suplantación de dominios dentro de navegadores móviles de la aplicación (p. ej., navegadores basados en dapp o en WebView).

  • Exposición de datos confidenciales en redes sociales.

  • Usurpaciones de dominios internos fuera de okx.com, okg.com o oklink.com.

  • Clientes (escritorio/móvil) no descargados desde fuentes oficiales admisibles.

  • Denuncias contra el Proof of Reserves como "filtración de información confidencial".

  • Denuncias basadas únicamente en un análisis estático de binarios sin que la prueba de concepto (PoC) afecte a la lógica del negocio.

  • Ausencia de ofuscación, protección binaria o detección de rooting o jailbreaking.

  • Bypass para evitar la fijación de certificados en dispositivos afectados por rooting o jailbreaking.

  • Falta de mitigaciones de ataques contra vulnerabilidades (p. ej., PIE, ARC, Stack Canaries).

  • Datos confidenciales en direcciones URL o cuerpos de solicitud cuando están protegidos por TLS.

  • Divulgación de rutas en binario.

  • Secretos de la aplicación incrustados o recuperables en IPA/APK sin impacto sobre el negocio.

  • Datos confidenciales almacenados en el directorio de la aplicación privada.

  • Rupturas de la aplicación debido a esquemas de URL deformada o a componentes exportados.

  • Ataques contra vulneraciones del tiempo de ejecución que solo son posibles en un entorno afectado por rooting o jailbreaking (p. ej., mediante Frida).

  • Filtración de enlaces compartidos mediante portapapeles.

  • Filtraciones de URI causadas por aplicaciones maliciosas con permisos.

  • Exposición de claves de API sin un impacto de seguridad demostrado (p. ej., claves de API de Google Maps o claves que se encuentran en nuestros repositorios públicos de GitHub).

  • Servicios de terceros (salvo que hayan sido permitidos explícitamente).

  • Servicios que no son propiedad de OKX (p. ej., vulnerabilidades del proveedor de nube).

Reglas generales

  • Haber realizado la primera denuncia de la vulnerabilidad.

  • Ofrecer una prueba de concepto (PoC) clara con los pasos de la reproducción.

  • Evitar hacer pruebas que afecten a cuentas de usuario reales.

  • No llevar a cabo denegaciones de servicio, actividades de spam ni acciones de ingeniería social.

  • No intentar acceder a los datos de los usuarios ni modificarlos sin permiso.

Resolución de disputas

Si tienes cualquier tipo de comentario sobre nuestro proceso de denuncia y sobre los niveles y tipos de riesgos, ponte en contacto con nuestro servicio al cliente y te ayudaremos lo antes posible.