Descripción general de la criptografía
La seguridad está integrada en cada etapa del desarrollo, desde la primera idea hasta la versión final. Esta sección describe el modelo criptográfico, los algoritmos y los mecanismos de protección de datos que hacen que Passwork sea de confianza para miles de empresas en todo el mundo.
Para quién es esta sección
- Especialistas en seguridad de la información — para auditorías y evaluaciones de cumplimiento
- Responsables técnicos de decisiones — para evaluar el producto antes de su implementación
- Administradores — para comprender cómo funciona el sistema y cómo configurarlo
Cómo desarrollamos software seguro
| Práctica | Descripción |
|---|---|
| Security champions | Formación OWASP y modelado de amenazas en cada equipo de desarrollo |
| Enfoque DevSecOps | Análisis estático y dinámico, SCA, escáneres IaC integrados en cada compilación |
| Revisión multietapa | Sin envíos directos a la rama principal, revisión de seguridad de código obligatoria |
| Auditorías externas | Pruebas de penetración anuales y auditorías de seguridad por expertos independientes |
Estándares y validación
- Certificación ISO 27001 — todas las prácticas de desarrollo e infraestructura cumplen los más altos estándares de seguridad
- Probado por HackerOne — evaluaciones de seguridad independientes por hackers éticos
- Cumplimiento del RGPD — pleno cumplimiento de las normativas europeas de protección de datos
Arquitectura Zero-Knowledge
Passwork se basa en el principio Zero-Knowledge: el servidor no dispone de información suficiente para descifrar los datos del usuario. Ni los administradores del servidor ni el personal técnico pueden acceder a sus contraseñas, incluso si lo desearan.
- La contraseña maestra nunca sale del dispositivo del usuario
- Todas las claves criptográficas se generan en el cliente
- El servidor almacena únicamente datos cifrados y claves cifradas
- El descifrado solo es posible en el lado del cliente
Esta arquitectura garantiza que sus contraseñas nunca abandonen su infraestructura, lo que convierte a Passwork en una solución de confianza para organismos gubernamentales y organizaciones altamente reguladas en toda Europa.
Protección de dos niveles
Passwork aplica dos niveles de cifrado:
| Nivel | Dónde se ejecuta | Clave | Cuándo está activo |
|---|---|---|---|
| Cifrado del lado del cliente | Navegador / aplicación | Claves del usuario | Cuando CSE está habilitado |
| Cifrado del lado del servidor | Servidor | Clave del servidor | Siempre |
Incluso con el cifrado del lado del cliente deshabilitado, los datos siguen protegidos por el cifrado del lado del servidor con AES-256.
Algoritmos utilizados
| Propósito | Algoritmo | Parámetros |
|---|---|---|
| Derivación de clave a partir de contraseña | PBKDF2 | SHA-256, 300K iteraciones |
| Cifrado simétrico (servidor) | AES-256-CFB | OpenSSL |
| Cifrado simétrico (cliente) | AES-256-CBC | + codificación Base32 |
| Cifrado asimétrico | RSA-OAEP | 2048 bits, SHA-256 |
| Hashing | SHA-256, SHA-512 | — |
Estructura de la sección
Fundamentos
- Glosario — definiciones: contraseña maestra, clave maestra, bóveda, registro, claves
- Modelo de datos — jerarquía de objetos y relación con claves criptográficas
Cifrado
- Alcance del cifrado — qué campos se cifran en el cliente y cuáles en el servidor
- Jerarquía de claves — cadena de claves desde la contraseña maestra hasta las claves de archivos adjuntos
- Algoritmos criptográficos — especificaciones de PBKDF2, AES, RSA
Procesos
- Autenticación — verificación de la contraseña maestra y flujo de acceso
- Almacenamiento local — guardado de la clave maestra en el navegador
- Compartir registros — uso compartido interno y enlaces externos
Infraestructura
- Cifrado del lado del servidor — AES-256-CFB, gestión de claves, rotación
- Tokens de sesión — Access Token, Refresh Token, protección CSRF
Resumen de la cadena de cifrado
Lado del cliente:
- Contraseña maestra (introducida por el usuario) → PBKDF2 (300K iteraciones) →
- Clave maestra (512 bits) → AES-256-CBC →
- Clave privada RSA (2048 bits) → RSA-OAEP (WebCrypto) →
- Clave de bóveda (256 bits) → AES-256-CBC →
- Clave de registro (256 bits) → AES-256-CBC →
- Datos del registro (contraseñas, secretos, archivos — cifrados)
Lado del servidor:
- Clave del servidor (256 bits, OpenSSL) → AES-256-CFB →
- Base de datos (doble cifrado)
Qué se cifra en el cliente
No todos los datos se cifran en el cliente — algunos campos están protegidos únicamente por el cifrado del lado del servidor para permitir la funcionalidad de búsqueda y ordenación.
La información detallada sobre el cifrado de cada campo se encuentra en la sección Alcance del cifrado.
Parámetros clave
| Parámetro | Valor |
|---|---|
| Clave RSA | 2048 bits |
| Clave AES | 256 bits |
| Iteraciones PBKDF2 (cliente) | 300.000 |
| Iteraciones PBKDF2 (servidor) | 600.000 |
| Entropía del Access Token | 256 bits |
| Entropía del token de enlace | 256 bits |
| Entropía de la clave de bóveda | ~596 bits |
Cumplimiento de estándares de la industria
| Parámetro | Passwork | Recomendaciones NIST (2024) | Estado |
|---|---|---|---|
| Cifrado simétrico | AES-256 | AES-128/192/256 | ✓ |
| Cifrado asimétrico | RSA-2048 | RSA-2048+ | ✓ |
| Hashing | SHA-256/512 | Familia SHA-2 | ✓ |
| Iteraciones PBKDF2 | 300K/600K | ≥310K (SHA-256) | ✓ |
| Generador de números aleatorios | CSPRNG | CSPRNG | ✓ |