Libertad VZLA LogoLibertadVZLA
INICIONOTICIASREPORTAJESVÍCTIMASQUIÉNES SOMOS
Libertad VZLA LogoLibertadVZLA
PrivacidadTérminos
Volver al Inicio

Política de Seguridad

Última actualización: 13 de abril de 2026

Esta Política describe las medidas técnicas y organizativas implementadas por Libertad VZLA para proteger la integridad del Sitio, la confidencialidad de los datos de sus usuarios y la continuidad del servicio. También incluye el proceso de divulgación responsable de vulnerabilidades.

1. Infraestructura y Arquitectura Segura

1.1 Transporte y Cifrado

Todas las comunicaciones entre el navegador del usuario y los servidores de Libertad VZLA se realizan exclusivamente mediante HTTPS con TLS 1.2 o superior. El certificado SSL es provisto y renovado automáticamente por Vercel. Las conexiones HTTP planas son redirigidas automáticamente a HTTPS mediante redirección 301.

Los datos almacenados en reposo en Supabase (PostgreSQL) están cifrados mediante AES-256 a nivel de disco, conforme a los estándares de la plataforma.

1.2 Autenticación y Gestión de Sesiones

  • JWT con rotación: Los tokens de acceso (access tokens) tienen una vida útil de ~1 hora. Los refresh tokens permiten renovar la sesión sin re-autenticación manual, y se rotan en cada uso.
  • HttpOnly y Secure: Todas las cookies de sesión son del tipo HttpOnly, Secure y SameSite=Strict, lo que las hace inaccesibles desde JavaScript del lado del cliente y protegidas contra ataques CSRF y XSS.
  • OAuth 2.0 con PKCE: El flujo de autenticación con Google implementa el estándar OAuth 2.0 con Proof Key for Code Exchange (PKCE), eliminando la exposición de tokens en URLs.
  • Hashing de contraseñas: Las contraseñas se almacenan como hashes usando bcrypt con sal aleatoria. Nunca se almacenan contraseñas en texto plano ni se transmiten por la red.

1.3 Control de Accesos

  • Row Level Security (RLS): La base de datos Supabase tiene activadas políticas de Row Level Security en todas las tablas que contienen datos de usuarios. Esto garantiza que un usuario solo pueda acceder a sus propios datos, incluso si una query mal construida lo intentara.
  • Service Role Key segregado: La clave de servicio con privilegios de administrador de Supabase solo es utilizada desde funciones de servidor (Server Actions) y nunca expuesta al cliente.
  • Middleware de autenticación: Las rutas del panel de administración (/admin/*) están protegidas por un middleware de Next.js que verifica la sesión activa y el rol de usuario en cada request, rechazando accesos no autorizados con una redirección a la página de login.

2. Protección contra Vulnerabilidades Comunes

Libertad VZLA implementa defensas activas contra las principales clases de vulnerabilidades del OWASP Top 10:

VulnerabilidadMedida implementada
SQL InjectionUso exclusivo del cliente Supabase con consultas parametrizadas. Nunca se construyen queries con concatenación de strings de usuario.
XSS (Cross-Site Scripting)React escapa automáticamente el HTML en el render. Las cookies de sesión son HttpOnly. Se aplican Content Security Policy headers en producción.
CSRFLas cookies usan SameSite=Strict. Los endpoints de mutación están protegidos por Server Actions de Next.js con validación de origen.
Broken AuthenticationGestión de sesiones delegada a Supabase Auth con rotación de tokens y expiración configurada. No existe gestión de sesiones artesanal.
Broken Access ControlRow Level Security activado en Supabase + validación de rol en middleware de Next.js para todas las rutas admin.
Exposición de Datos SensiblesClaves API y secretos de entorno almacenados exclusivamente como variables de entorno cifradas en Vercel. Nunca en el repositorio o en el cliente.
Endpoint de Cron sin protecciónEl endpoint /api/news/ingest requiere un CRON_SECRET en la cabecera de autorización. Sin él, retorna HTTP 401.

3. Dependencias y Gestión de la Cadena de Suministro

El proyecto utiliza dependencias de código abierto auditadas y mantenidas activamente. Se realizan revisiones periódicas de vulnerabilidades conocidas (CVEs) mediante las herramientas de análisis de dependencias de GitHub (Dependabot). Las actualizaciones de seguridad críticas se aplican con prioridad.

Las claves API de servicios externos (Gemini, GNews) operan con el principio de mínimo privilegio: cada clave solo tiene los permisos estrictamente necesarios para su función y no puede ser utilizada para operaciones fuera de su alcance designado.

4. Monitoreo y Respuesta a Incidentes

Libertad VZLA dispone de un sistema de logging estructurado implementado mediante un logger centralizado que registra eventos críticos del servidor (errores de autenticación, fallos de API, accesos denegados) sin registrar datos personales sensibles en los logs.

Ante la detección de un incidente de seguridad que afecte datos de usuarios, nos comprometemos a:

  1. Contener el incidente y mitigar el impacto inmediato.
  2. Notificar a los usuarios afectados en un plazo máximo de 72 horas desde la detección, conforme al GDPR.
  3. Publicar un informe de post-mortem público cuando la gravedad del incidente lo justifique.
  4. Implementar medidas correctivas para prevenir la recurrencia.

5. Programa de Divulgación Responsable de Vulnerabilidades

Libertad VZLA valora la colaboración de la comunidad de seguridad. Si usted descubre una vulnerabilidad de seguridad en nuestro Sitio, le pedimos que la reporte de forma responsable antes de divulgarla públicamente.

¿Cómo reportar?

  1. Envíe un correo a seguridad@libertadvzla.com con el asunto: [SECURITY] Descripción breve
  2. Incluya: descripción del problema, pasos para reproducirlo, impacto estimado y, si es posible, una prueba de concepto (PoC).
  3. No explote la vulnerabilidad más allá de lo necesario para demostrar su existencia.
  4. No acceda, modifique ni elimine datos de usuarios durante la investigación.

Nos comprometemos a responder a su reporte en un plazo de 5 días hábiles, a mantener comunicación continua sobre el progreso y a dar el crédito público correspondiente (si lo desea) una vez resuelto el problema.

Alcance del programa: Aplica únicamente para el dominio www.libertadvzla.com y sus subdominios. No aplica para servicios de terceros (Supabase, Vercel, Google) ni para ataques de ingeniería social.

6. Limitaciones de Seguridad Conocidas (MVP)

En pro de la transparencia, declaramos que Libertad VZLA es actualmente un Producto Mínimo Viable (MVP) en etapa de validación. Las siguientes mejoras de seguridad están en la hoja de ruta pero aún no están implementadas:

  • Autenticación de dos factores (2FA) para cuentas de usuario.
  • Detección automática de anomalías en patrones de acceso.
  • Auditoría de seguridad externa por terceros certificados.
  • Programa formal de Bug Bounty con recompensas económicas.

Para reportes de seguridad: seguridad@libertadvzla.com

Para consultas generales: privacidad@libertadvzla.com