Seguridad o Incidencias

1. Nuestro compromiso con la seguridad y la calidad de servicio

En Credi Solución, la seguridad y confiabilidad de nuestra plataforma son tan importantes como la rapidez de nuestro estudio crediticio basado en inteligencia artificial. Por eso:

• Nos comprometemos a mantener nuestros servidores y sistemas actualizados con los últimos parches de seguridad.

• Realizamos auditorías periódicas (internas y externas) para detectar vulnerabilidades antes de que puedan explotarlas terceros.

• Contamos con un equipo propio de Tecnología e Inteligencia Artificial, liderado por nuestro Jefe de Tecnología, que vela por la disponibilidad del servicio y la integridad de los datos.

• Implementamos protocolos de cifrado (SSL/TLS) y controles de acceso estricto para proteger la información personal y financiera que nos facilitas.

• Ponemos especial énfasis en la prevención de ciberataques (ataques de fuerza bruta, inyecciones SQL, cross-site scripting, DDoS, etc.) y en la gestión rápida de cualquier incidente que se pueda producir.

Nuestro objetivo es proporcionarte un servicio estable las 24 horas del día, 7 días a la semana, con tiempos de respuesta ágiles ante cualquier problema técnico o eventualidad de seguridad.

2. Tipos de incidencias y amenazas de seguridad

A continuación, describimos los principales tipos de incidencias que pueden ocurrir en un servicio online de créditos:

2.1. Incidencias técnicas (errores de funcionamiento)

• Caídas del servidor o interrupción del servicio
  ­– Breves periodos en los que la web no carga o muestra mensaje de “Error 503 – Servicio no disponible”.
  ­– Causas frecuentes: mantenimiento programado sin notificar, fallo de alimentación eléctrica en el centro de datos, saturación de tráfico (picos de visitas altos).

• Errores en el formulario de solicitud o simulador
  ­– Mensajes de error (“500 – Internal Server Error”, “502 – Bad Gateway”) al intentar enviar el formulario.
  ­– El simulador no muestra resultados o se queda en “Cargando…” indefinidamente.
  ­– Los campos obligatorios no se validan correctamente, permitiendo o impidiendo envíos erróneos.

• Problemas de visualización o diseño (bugs de interfaz)
  ­– Elementos desalineados, botones que no responden al clic, imágenes faltantes.
  ­– Incompatibilidad con navegadores concretos o versiones antiguas (Internet Explorer, Safari en iOS anteriores).

• Fallos en la plataforma de firma electrónica
  ­– Al intentar firmar el contrato digital, no se redirige a la pasarela de firma o aparece un mensaje de “Firma no completada”.
  ­– El PDF del contrato no se genera correctamente o presenta páginas en blanco.

• Errores en notificaciones automáticas
  ­– No recibes el correo de confirmación al enviar el formulario.
  ­– No llegan los correos de preaprobación, envío de contrato o notificaciones de estado.

2.2. Incidencias de seguridad (vulnerabilidades y ataques)

• Acceso no autorizado o violación de datos
  ­– Intentos de intrusión al área de administración de la plataforma (panel interno).
  ­– Robo o filtración de datos personales de clientes (DNI, correos, direcciones, números de teléfono).

• Intentos de denegación de servicio (DDoS)
  ­– Sobrecarga deliberada del servidor con tráfico masivo para hacer la web inaccesible.

• Explotación de vulnerabilidades web
  ­– Inyecciones SQL (peticiones maliciosas para extraer datos de la base).
  ­– Cross-Site Scripting (XSS) para robar cookies de sesión y suplantar cuentas de usuario.

• Fugas de información interna
  ­– Acceso indebido a logs del servidor, registros de transacciones o datos de configuración del sistema.

• Malware o virus en sistemas de terceros
  ­– Herramientas de analítica, plugins de terceros o integraciones externas que puedan contener software malicioso.

• Problemas con certificados SSL
  ­– Caducidad del certificado de seguridad, provocando advertencias de “Conexión no segura” en el navegador.
  ­– Uso de un certificado mal configurado que no cifra correctamente el tráfico.

3. Cómo detectar señales de que algo no funciona correctamente

Muchas veces, el primer indicio de una incidencia o vulnerabilidad es la experiencia directa al navegar en la página. Fíjate en los siguientes síntomas:

• La web no carga o muestra mensaje de “Inicio de conexión no seguro”
  ­– Verifica si aparece un candado verde o una advertencia roja en la barra de dirección (indicando que el certificado SSL está caducado o no válido).

• Movimientos lentos o tiempos de carga muy altos
  ­– Si debes esperar más de 10–15 segundos para que se muestre una página, puede haber un problema de servidor o de sobrecarga.

• Errores repetidos al enviar formularios
  ­– Si al pulsar “Enviar” el formulario no se procesa, devuelve un error genérico o recarga la página sin mensaje, apunta a un posible fallo en la validación del lado del servidor.

• Fallas en la funcionalidad de inicio de sesión o firma
  ­– Recibes mensajes de “Usuario o contraseña incorrectos” aunque ingreses datos válidos.
  ­– La pantalla de firma electrónica no redirige o se queda congelada.

• Cuentas de usuario bloqueadas sin motivo aparente
  ­– Si tu cuenta se bloquea (mensaje de “Acceso denegado” o “Sesión caducada”) sin haber introducido varias contraseñas erróneas, puede ser un bloqueo preventivo por actividad sospechosa.

• Cambios no autorizados en tu perfil
  ­– Si notas que tu correo, teléfono o IBAN han sido modificados sin haberlo solicitado. Esto podría implicar acceso no autorizado.

• Notificaciones de actividad en horarios atípicos
  ­– Avisos de inicio de sesión desde países donde no te encuentras o intentos de recuperación de contraseña que no solicitaste.

Ante cualquiera de estas señales, lo recomendable es no intentar forzar más el sistema y contactar de inmediato con nuestros canales de soporte y seguridad (descritos en la sección siguiente) para evitar daños mayores.

4. Canales oficiales para reportar incidencias o vulnerabilidades

Para que podamos atender tu incidencia o alerta de seguridad con rapidez y diligencia, te ofrecemos estos canales específicos. Elige el que mejor se adapte a tu caso:

1. Correo Electrónico para Soporte Técnico y Fallos de Funcionamiento

   • Dirección: soporte@credisolucion.es

   • Asunto sugerido: “Incidencia técnica – [Breve descripción]”

   • Datos básicos a incluir:

     1. Nombre completo y DNI/NIE (si eres cliente) o “Solicitante” (si aún no enviaste tu formulario).

     2. Fecha y hora aproximada en que se produjo la incidencia.

     3. Navegador y versión (p. ej., Chrome 90, Firefox 85, Safari iOS 14) y dispositivo (PC, móvil, tablet).

     4. Descripción clara de los pasos que seguiste antes de que ocurriera el error (por ejemplo: “Intenté enviar el formulario de solicitud en Safari iOS 14 y me dio un error 500”).

     5. Capturas de pantalla o vídeos cortos si fuera posible (formato JPG/PNG, peso máximo 5 MB).

   • Plazo de respuesta: Acuse de recibo en 24 horas hábiles. Respuesta técnica y propuesta de solución en un máximo de 48–72 horas hábiles (según complejidad).

2. Correo Electrónico para Incidentes de Seguridad y Vulnerabilidades

   • Dirección: seguridad@credisolucion.es

   • Asunto sugerido: “Incidente de seguridad – [Breve descripción]”

   • Información mínima a aportar:

     1. Tu nombre completo y, si eres cliente, el número de contrato o solicitud.

     2. Fecha y hora exactas del incidente de seguridad o sospecha (p. ej., “09/06/2025 a las 17:45”).

     3. Descripción detallada de lo que viste (por ejemplo: “Recibí un correo de restablecimiento de contraseña que no solicitó” o “El simulador devolvió resultados de otro usuario”).

     4. Direcciones IP indicadas en los mensajes (si aparece en los logs) o país de acceso inusual.

     5. Archivos o capturas de pantalla que muestren el comportamiento anómalo.

   • Plazo de respuesta: Acuse de recibo en 24 horas hábiles. Informe preliminar en 48–72 horas hábiles. Informe final con conclusiones y medidas en 10–15 días hábiles.

3. Formulario Web de Incidencias

   • Ubicación: Sección “Seguridad o Incidencias” en nuestro sitio:

     https://www.credisolucion.es/seguridad-o-incidencias

   • Campos a completar:

     1. Datos personales: nombre, DNI/NIE o “Solicitante” si aún no eres cliente.

     2. Correo electrónico y teléfono de contacto.

     3. Tipo de incidencia:

        • “Error al enviar formulario”

        • “Simulador no responde”

        • “Problema de firma digital”

        • “Incidente de seguridad (vulnerabilidad, posible hackeo, etc.)”

        • “Otro (especificar)”.

     4. Descripción de la incidencia: pasos, mensajes de error, horas, fechas.

     5. Adjuntos: capturas, fragmentos de logs (formato TXT, máximo 2 MB) o vídeos breves (formato MP4, máximo 10 MB).

   • Confirmación: Tras enviar el formulario, verás en pantalla un número de incidencia. También recibirás un e-mail de confirmación con este número y los datos básicos de tu reporte.

1. WhatsApp para Seguimiento de Incidencias

   • Número oficial: 660 666 348

   • Uso:

     • Solo para seguimiento de un caso previamente registrado por e-mail o formulario web.

     • No se gestionan nuevas incidencias por WhatsApp; este canal es exclusivo para actualizar información, aclarar dudas sobre el estado de tu ticket o enviar documentación adicional.

   • Horario: Lunes a viernes – 09:00 a 20:00 (hora peninsular).

2. Teléfono de Emergencia Técnica (Próximamente)

   • En desarrollo: Tenemos previsto habilitar un número de atención telefónica para incidencias críticas (caídas totales de la web, problemas de seguridad graves). Este canal se anunciará en breve en la sección “Contacto” del sitio.

5. Procedimiento interno de gestión de incidencias

Cuando recibimos tu reporte de incidencia, ya sea por correo electrónico o formulario web, seguimos un protocolo estructurado para diagnosticar y resolver el problema lo antes posible:

5.1. Registro y clasificación

1. Asignación de número de incidencia

   • Cada informe obtiene un código único (por ejemplo: “INC‐20250609‐0452”) que se utiliza para trazar su seguimiento.

   • Se registra fecha, hora, canal y datos básicos del reportante (nombre, DNI/NIE o “Solicitante”).

2. Clasificación por prioridad

   • Alta: Fallo generalizado que impide el acceso a todo el sitio (p. ej., “Error 503 en toda la web”), vulnerabilidad de seguridad crítica (brecha de datos, ataque DDoS).

   • Media: Problemas técnicos que afectan a funcionalidades clave (simulador caído, no se genera contrato, fallo en la pasarela de firma).

   • Baja: Fallos visuales menores (desalineación de botones, error tipográfico), pequeños retardos intermitentes.

3. Asignación a equipo correspondiente

   • Incidencias técnicas → Equipo de Desarrollo & Operaciones.

   • Vulnerabilidades o ataques de seguridad → Equipo de Seguridad, que colabora con el Jefe de Tecnología e Inteligencia Artificial y, de ser necesario, notifica al DPO y a la gerencia.

5.2. Análisis y diagnóstico

1. Reproducción del error (entorno controlado)

   • El equipo técnico intenta replicar tu caso en un entorno de pruebas (staging) usando los mismos parámetros que tú describiste (mismo navegador, sistema operativo, pasos exactos).

   • Si no se reproduce, se solicita más información (capturas, logs, direcciones IP).

2. Revisión de logs de servidor y de aplicación

   • Se revisan los registros (errores HTTP, excepciones de servidor, registros de base de datos) para identificar la causa raíz (error de código, consulta SQL mal formada, configuración de red).

   • En caso de vulnerabilidad de seguridad, se busca “firma” del ataque (IP sospechosa, secuencia de URLs maliciosas, peticiones a rutas no expuestas).

3. Determinación de la solución

   • Solución inmediata: Parche en caliente, reinicio de servicios, ajuste en configuración.

   • Solución planificada: Desarrollo de corrección en el código fuente, pruebas en staging y posterior despliegue en producción.

   • Medida temporal: Bloqueo de IPs sospechosas, desactivación temporal de la función afectada (por ejemplo, desactivar blog embebido que causa errores de XSS).

5.3. Implementación de la solución y pruebas

1. Despliegue en entorno de producción

   • Tras validar que el parche funciona en staging y no genera efectos secundarios, se programa el despliegue en producción en horas de baja carga (por lo general, entre las 02:00 y las 04:00).

   • En casos críticos (p. ej., brecha de seguridad), el despliegue es inmediato, con apoyo de nuestro servicio de hosting para garantizar disponibilidad.

2. Pruebas post-despliegue

   • Se realizan pruebas de aceptación en producción para asegurar que el error ha desaparecido y que no surgen nuevos problemas.

   • Se verifica la eliminación de la vulnerabilidad y la restauración del servicio.

5.4. Comunicación al usuario

1. Informe intermedio (24–72 horas)

   • En el caso de incidencias de prioridad Alta o Media, te enviaremos un correo de estado en un plazo máximo de 24–72 horas indicando:

     • Qué hemos detectado (descrita la causa raíz en términos no técnicos).

     • Medidas aplicadas (reinicio de servidor, parches de seguridad, bloqueo de tráfico malicioso).

     • Próximos pasos y plazo estimado de resolución final.

2. Notificación de resolución

   • Una vez resuelto el incidente, recibirás un correo final que incluirá:

     • Descripción de la solución aplicada.

     • Confirmación de que el servicio ha vuelto a la normalidad (en caso de caída).

     • Recomendaciones adicionales (cambio de contraseñas, actualización de navegadores, limpieza de caché).

3. Informe de post-mortem (opcional)

   • Para incidencias críticas de Alta prioridad, elaboramos un análisis interno (post‐mortem) en el que se detallan:

     • Cronología completa del incidente (fecha y hora de inicio, duración).

     • Causa principal y factores contribuyentes.

     • Acción correctiva y preventiva.

     • Medidas para evitar que vuelva a ocurrir (refuerzo de infraestructuras, nuevos protocolos de monitoreo).

   • Un resumen no técnico de este informe puede compartirse contigo si lo solicitas a seguridad@credisolucion.es.

6. Tiempos de respuesta y plazos de resolución

Las métricas de respuesta que nos marcamos son las siguientes, con base en la clasificación de prioridad: