Seguridad y Cumplimiento

Cumplimiento ISO 27001, GDPR, HIPAA y EU AI Act. Arquitectura de conocimiento cero con cifrado AES-256-GCM.

Offline
How It Works
Features
Use Cases
Pricing
Docs
Learn
Compare
Demos
Blog
Account
Download

Modelo de Amenazas

La siguiente tabla describe contra qué se protege anonym.plus y qué está fuera del alcance de sus garantías de seguridad.

Amenaza	Mitigación	Estado
Documentos enviados a servidores externos	Todo el procesamiento se ejecuta localmente a través de Presidio agrupado + spaCy. Sin llamadas de red para detección o anonimización de PII.	Mitigada
Datos de bóveda accedidos por atacante con acceso a disco	Bóveda cifrada con AES-256-GCM. Clave derivada de contraseña de usuario mediante Argon2id (64 MB de memoria, 3 iteraciones). Sin PIN o frase de recuperación, los datos son ilegibles.	Mitigada
Compromiso del servidor expone contraseñas de usuario	Autenticación sin conocimiento cero. Las contraseñas se hacen hash en el lado del cliente antes de cualquier comunicación con el servidor. El servidor almacena solo pruebas criptográficas.	Mitigada
Claves de cifrado extraídas de la memoria	El material de clave se borra de la memoria cuando la bóveda se bloquea. El bloqueo automático se activa después de 15 minutos de inactividad.	Mitigada
Ataque de intermediario en comunicación de API	Toda la comunicación de API sobre HTTPS/TLS. Fijación de certificado no implementada (TLS estándar del navegador/Tauri).	Parcialmente mitigada
Malware en dispositivo del usuario	Fuera de alcance. Si un atacante tiene ejecución de código en tu máquina, ninguna aplicación de escritorio puede garantizar seguridad. Utiliza protecciones a nivel de SO.	Fuera de alcance
Detección NLP se pierde entidades de PII	Presidio + spaCy utilizan tanto NER (aprendizaje automático) como patrones regex. Umbrales de confianza configurables y paso de revisión manual. Los falsos negativos son posibles — siempre revisa los resultados.	Parcialmente mitigada

Arquitectura de Cifrado

Cifrado de Bóveda

Todos los datos locales (historial de procesamiento, claves de cifrado, configuración) se almacenan en una bóveda cifrada.

Algoritmo: AES-256-GCM (cifrado autenticado con datos asociados)
Derivación de Clave: Argon2id con costo de memoria de 64 MB, 3 iteraciones, salida de 32 bytes
Frase de Recuperación: Mnemotécnica BIP39 de 24 palabras (256 bits de entropía), generada durante la configuración inicial
Desbloqueo Rápido: PIN opcional de 4-8 dígitos para conveniencia. Después de 3 intentos fallidos, se requiere frase de recuperación.
Bloqueo Automático: La bóveda se bloquea después de 15 minutos de inactividad (sin eventos de ratón, teclado o desplazamiento)
Borrado de Clave: El material de clave de cifrado se borra de la memoria cuando la bóveda se bloquea

Cifrado de Documento (Anonimización Reversible)

Al utilizar el operador de anonimización "Cifrar", las entidades de PII se cifran con AES-256-GCM por clave para que puedan descifrarse posteriormente mediante la función Desanonimizar.

Algoritmo: AES-256-GCM con nonce aleatorio por entidad
Longitudes de Clave: 128-bit, 192-bit, o 256-bit (256-bit recomendado y predeterminado)
Almacenamiento de Clave: Sin conocimiento cero: los valores de clave nunca abandonan el backend de Rust. El frontend solo referencia claves por ID.
Rotación de Clave: Genera nuevo material de clave. El valor de clave antiguo se reemplaza permanentemente. Los documentos cifrados con clave antigua requieren valor de clave antigua para descifrado.

Autenticación

Gestión de Contraseña: Las contraseñas se hacen hash en el lado del cliente usando Argon2id + HKDF + SHA-256 antes de cualquier comunicación con el servidor. El servidor nunca recibe contraseñas en texto plano.
Tokens de Sesión: JWT con secretos separados para autenticación de usuario y administrador. Tokens almacenados en sessionStorage (borrados al cerrar pestaña).
Autenticación de Administrador: Secreto JWT separado (ADMIN_JWT_SECRET). Contraseña con mínimo de 12 caracteres. Autenticación de dos factores basada en TOTP.

Lo que el Servidor Ve

El servidor anonym.plus maneja gestión de cuentas, licencias, y compras de licencias. Aquí está exactamente lo que puede y no puede acceder:

Puede acceder: Dirección de correo electrónico, estado de licencia, activaciones de máquina, tickets de soporte, metadatos de pago (a través de Stripe/PayPal).
No puede acceder: Tus documentos, resultados de detección de PII, resultados anonimizados, claves de cifrado, contenido de bóveda, historial de procesamiento, o contraseña.

Para un desglose completo de los datos recopilados, consulta la Política de Privacidad.

Divulgación Responsable

Reportar una Vulnerabilidad de Seguridad

Si descubres una vulnerabilidad de seguridad en anonym.plus, te alentamos a divulgar responsablemente. Por favor, repórtala a través de nuestro formulario de contacto con la categoría "Seguridad".

Al reportar, por favor incluye: una descripción de la vulnerabilidad, pasos para reproducirla, la versión afectada, y el impacto potencial.

Nuestro objetivo es reconocer reportes dentro de 48 horas y proporcionar un cronograma de corrección dentro de 7 días. No tomaremos medidas legales contra investigadores que sigan prácticas de divulgación responsable.

Nuestra información de contacto de seguridad también está disponible en /.well-known/security.txt (RFC 9116).

Componentes de Código Abierto

anonym.plus utiliza los siguientes componentes de código abierto para sus funciones críticas de seguridad:

Microsoft Presidio — Motor de detección de PII (Apache 2.0)
spaCy — Modelos de PNL para reconocimiento de entidades nombradas (MIT)
Tesseract OCR — Extracción de texto de imagen (Apache 2.0)
Tauri — Framework de aplicación de escritorio con backend de Rust (MIT/Apache 2.0)
Argon2 — Cifrado de contraseña / derivación de clave (CC0)

Referencias

Microsoft Presidio — Repositorio de GitHub
spaCy — PNL de nivel industrial
RFC 5116 — Especificación de cifrado autenticado AES-GCM
RFC 9106 — Especificación de función Argon2 con memoria
BIP39 — Especificación de código mnemotécnico
GDPR — Texto completo del Reglamento General de Protección de Datos

Consideraciones de Seguridad Importantes

La arquitectura de conocimiento cero tiene compensaciones de seguridad inherentes que debe comprender:

La frase de recuperación es crítica: Frase de recuperación perdida significa pérdida de datos permanente. No hay copia de seguridad en la nube ni recuperación por administrador por diseño.
Seguridad solo local: El cifrado protege los datos solo en su dispositivo. Las computadoras compartidas o los sistemas comprometidos pueden exponer datos no cifrados.
Sin restablecimiento de contraseña: ¿Olvidó su PIN de 6 dígitos? Debe usar su frase de recuperación de 24 palabras. No existe opción de recuperación por correo electrónico por diseño (límite de conocimiento cero).