Centro de Seguridad
Porque tu seguridad no es una opción.
Únete al programa de recompensas por bugs de Trezor
Ayúdanos a proteger el futuro de la autocustodia. Informa sobre vulnerabilidades. Gana recompensas. Sigue estas reglas:
Actúa de buena fe para proteger los datos de los usuarios y de la compañía.
Danos tiempo para solucionar el problema antes de divulgarlo públicamente.
Evita cualquier fraude o daño durante tu investigación.
Temas relevantes
Dispositivos Trezor y firmware
- Extracción o inyección de la semilla
- Bypass del PIN
- Omisión de confirmación del usuario
- Extracción de clave privada
- Ataques físicos y a la cadena de suministro
Esta categoría es la más importante, ya que Trezor representa el punto máximo de seguridad dentro de nuestro modelo de amenazas.
App Trezor Suite y Trezor Connect
- Inyección de scripts entre sitios (XSS)
- Ataques a bibliotecas de terceros y cadena de suministro
- Vulnerabilidades en las secciones trading y staking
Blockbook y otros componentes del backend
- Compromiso del servidor Blockbook
- Fallo en la configuración del backend
Trezor.io
- Inyección de scripts entre sitios (XSS)
- Ataques a bibliotecas de terceros y cadena de suministro
- Fallos en el control de acceso
- Exposición de datos sensibles
- Inyección de SQL
- Configuración incorrecta del servidor
- Alteración de transacciones y compras
Cualquier otro problema que no esté listado anteriormente y que, al mismo tiempo, no esté excluido en Todos los términos.
Más detalles en Todos los términosEsquema de recompensas
Tipo de vulnerabilidad
Recompensa
Baja
$0 – $2 000
Media
$250 – $5 000
Alta
$500 – $10 000
Crítica
$1 000 – $100 000*
La recompensa depende del producto afectado y de la gravedad del problema. Nos reservamos el derecho de determinar tanto la gravedad como la elegibilidad de los informes.
*En casos excepcionalmente graves, no hay un límite máximo.
Más detalles en Todos los términos¿Cómo informar?
Contáctanos en [email protected] e incluye lo siguiente:
- Código – Una prueba de concepto que demuestre el problema.
- Descripción – Una explicación detallada del bugr y su posible impacto.
- Nombre o apodo (opcional) – Para incluirlo en nuestra lista de incidencias anteriores.
En caso de que consideres que se trata de un asunto delicado, te proporcionaremos instrucciones para configurar un canal encriptado en Signal.
Todos los términos
Nos reservamos el derecho de determinar tanto la gravedad como la elegibilidad de los informes.
Vulnerabilidades solucionadas
Reportada por la comunidad. Investigada. Solucionada. Porque tu seguridad no es una opción.
- Inability to cancel certain flows on pre-production firmware31 de octubre de 2025
- Fix side-channel in BIP-39 mnemonic processing when unlocked24 de septiembre de 2025
- Donjon's Trezor Safe 3 evaluation12 de noviembre de 2024
- Missing confirmation in the ECDHSessionKey call26 de noviembre de 2023
- XSS in Trezor Connect legacy versions7 de febrero de 2023
- Insufficient field size check in Protobuf12 de julio de 2021