Seguridad y anti-phishing

Última actualización: abril de 2026

Tu seguridad importa. Esta página enumera nuestros dominios oficiales y cuentas sociales, explica cómo reconocer el phishing y describe cómo reportar problemas de seguridad.

Dominios oficiales

CoinKirin opera únicamente bajo los siguientes dominios. Cualquier otro no somos nosotros:

• coinkirin.com — Sitio web principal (usuarios públicos).
• api.coinkirin.com — API REST pública.
• static.coinkirin.com — Recursos estáticos (imágenes, CSS, JS) servidos vía CDN.
• mcp.coinkirin.com — Servidor MCP para agentes de IA.

Nunca te pedimos iniciar sesión a través de ningún otro dominio. Si la URL en tu navegador no es una de las anteriores, cierra la pestaña de inmediato.

Cuentas sociales oficiales

Nuestros únicos canales oficiales se enumeran a continuación. Las cuentas que afirmen ser CoinKirin en otros sitios son suplantaciones:

• GitHub — https://github.com/coinkirin

Cómo identificar el phishing

Los atacantes pueden hacerse pasar por personal de CoinKirin o por dominios similares. Ten presentes estas reglas:

• NUNCA te enviaremos un correo pidiéndote tu frase semilla, claves privadas o contraseña de la cartera. Cualquiera que lo haga es un estafador.
• NUNCA te contactaremos primero por Telegram, Discord o WhatsApp DM pidiéndote fondos, verificaciones o credenciales.
• Comprueba siempre la ortografía del dominio. Los atacantes usan trucos como c0inkirin.com, coinklrin.com o coinkirin.co.
• Comprueba el certificado SSL — haz clic en el icono del candado de tu navegador. El certificado debe estar emitido para coinkirin.com.
• Los correos legítimos nuestros vienen de direcciones @coinkirin.com. Pasa siempre el cursor sobre los enlaces antes de hacer clic.

Reporte de problemas de seguridad

Si sospechas de phishing, suplantación o has encontrado una vulnerabilidad, por favor escribe a security@coinkirin.com.

Por favor incluye:

• Una descripción clara del problema o del intento de phishing sospechoso.
• URLs, capturas de pantalla, cabeceras de correo o pasos de reproducción si procede.
• Tu información de contacto (opcional) para que podamos hacer seguimiento.

Recompensa por errores

Un programa formal de bug bounty estará disponible próximamente. Mientras tanto, agradecemos a los investigadores de seguridad que siguen la divulgación responsable — los hallazgos válidos se acreditarán en nuestro salón de la fama de seguridad.

Cabeceras de seguridad que usamos

Cada página de CoinKirin se sirve con cabeceras de seguridad estrictas:

• HSTS — Fuerza conexiones solo HTTPS durante al menos 180 días, incluidos los subdominios.
• Content-Security-Policy (CSP) — Content Security Policy estricta con nonces — bloquea scripts inyectados y limita los orígenes de recursos a nuestro CDN.
• X-Frame-Options — Deniega el framing para evitar clickjacking.
• X-Content-Type-Options — Evita el sniffing de tipo MIME.
• Referrer-Policy — Strict-origin-when-cross-origin — limita la fuga de referrer a terceros.

Firma del APK de Android

Nuestra app de Android se distribuye directamente como APK y se firma con una clave estable. Verifica siempre la huella del certificado de firma antes de instalar o actualizar — si la huella difiere, el APK no es auténtico.

Huella SHA-256 del certificado de firma:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

Puedes verificar la huella con: apksigner verify --print-certs coinkirin-latest.apk. En la app instalada, abre Ajustes → Acerca de → Firma para ver la huella en el dispositivo.

Política de divulgación responsable

Seguimos una ventana de divulgación coordinada de 90 días. Nuestros compromisos con los investigadores:

• Acusamos recibo de tu informe en un plazo de 5 días hábiles.
• No emprenderemos acciones legales contra investigadores que actúen de buena fe y sigan esta política.
• La divulgación pública se coordina con el investigador y suele producirse en un plazo de 90 días desde el informe inicial, o antes si se despliega una corrección.