GuardedBox: la solución para compartir y proteger tus secretos


GuardedBox es una una solución que permite, desde cualquier dispositivo con un navegador web, el almacenamiento y la compartición de secretos de manera segura, mediante cifrado E2E en el que todas las tareas de protección y cifrado de los datos tienen lugar en el dispositivo cliente , sin confiar en el servidor, y haciendo uso de las mejores prácticas de la industria de ciberseguridad.

GuardedBox ofrece una instancia pública de GuardedBox 100% gratuita, así como una modalidad Premium que incorpora funcionalidades adicionales para el almacenamiento y la gestión de secretos. Se recomienda consultar las ventajas y limitaciones de GuardedBox.

GuardedBox para entornos corporativos

GuardedBox ha sido diseñado y desarrollado para adaptarse a cualquier necesidad, permitiendo , funcionalidad de para gestión del entorno y un para integración con directorios activos de usuarios. Si tienes requisitos específicos para la gestión de tus secretos, incluyendo despliegues a medida, contáctanos y te informaremos de qué servicios podemos ofrecerte.

  • Despliegues On-premise.
  • Despliegues Cloud en instancias privadas en nube pública o privada.
  • Configurar restricciones de registro y acceso a las cuentas en base a dominioss.
  • Integraciones con servicios de Single Sign On (SSO).
  • Desarrollo de plugins para integración con soluciones corporativas de diversa índole (ej., pipelines).
  • Servicio de notificaciones y de auditoría del ciclo de vida de gestión de los secretos.
  • Personalizaciones a medida para necesidades concretas.


El panel de administración permite, para todas las cuentas del entorno:
  • Consultar el email y la clave pública del usuario.
  • Consultar el tipo de licencia y su fecha de expiración.
  • Conocer las fechas de creación y último inicio de sesión.
  • Conocer el estado de activación de la cuenta.
  • Desactivar puntual o planificadamente la cuenta.
  • Eliminar la cuenta.


Mediante consulta al listado de cuentas activas en el directorio de usuarios, el endpoint permite:
  • Limitar el registro en GuardedBox a las cuentas que están activas en el directorio.
  • Deshabilitar temporalmente las cuentas no activas en el directorio.

Modalidad Premium de GuardedBox

La modalidad de servicio "Premium" complementa y mejora las capacidades de la versión gratuita con múltiples funcionalidades, entre las que destacan:

  • El almacenamiento y compartición de .
  • El sistema de .
  • La compartición de secretos con usuarios no registrados en GuardedBox a través de los denominados .
  • Una función que simplifica la localización de secretos, grupos y licencias.


Gestión de ficheros

  • GuardedBox permite incorporar cualquier tipo de fichero como propiedad de un secreto, con las siguientes consideraciones:
    • Los ficheros se tratan como una propiedad más del secreto, y se envían al back-end cifrados E2E como parte del secreto.
    • Se admite un máximo de 20 ficheros como parte de las propiedades de un secreto, que corresponde al máximo número de propiedades ya existente para cualquier secreto.
    • El tamaño máximo del total de ficheros de un secreto se ha establecido inicialmente en 30MB, pero puede ser adaptado a necesidades específicas bajo demanda.
    • La operación de cifrado de los ficheros implica un mayor trabajo computacional por parte del front-end debido a su tamaño. En función de los recursos hardware y software del equipo del usuario, el tiempo necesario para completar el cifrado variará, por lo que, a partir de un tamaño en torno a 3MB, se mostrará un indicador de avance del proceso de cifrado.
    • La limitación del tamaño de los ficheros o el número de propiedades de un secreto puede aumentarse para usuarios con requisitos particulares.
    • Las cuentas premium pueden compartir ficheros con cualquier otro usuario de GuardedBox, tenga o no cuenta premium, así como añadir ficheros a grupos de los que sea propietario. Los usuarios que no tengan cuenta premium pueden visualizar los ficheros que se les haya compartido, así como borrarlos.
    • Los ficheros incorporan:
      • Un campo de "Notas" destinado a que el usuario pueda añadir información complementaria para la gestión del fichero, tales como un número de versión, el propietario del fichero, la fecha inicial de subida a GuardedBox, etc.
      • Un campo que muestra su tamaño.
      • Un campo que muestra la fecha de subida del fichero a GuardedBox, en formato UTC, para adecuarse a distintas zonas horarias.
    • Las cuentas premium pueden compartir ficheros con cualquier otro usuario de GuardedBox, tenga o no cuenta premium, así como añadir ficheros a grupos de los que sea propietario. Los usuarios que no tengan cuenta premium pueden visualizar los ficheros que se les haya compartido, así como borrarlos.

Si tienes necesidad de utilizar la funcionalidad premium a nivel profesional o personal, incluyendo la adaptación de alguna de las limitaciones existentes, puedes contactar con nosotros a través de los métodos de contacto de la página web principal.

Sistema de notificaciones

Destinado a proporcionar al usuario un mayor control y una mejor experiencia sobre las nuevas actividades que otros usuarios han realizado en GuardedBox con aquellos elementos (secretos o grupos) a los que se tiene acceso, el sistema de notificaciones ofrece al usuario dos medios para informar y ser informado sobre los cambios en los elementos compartidos a través de GuardedBox:

  • Indicadores visuales dentro de la propia aplicación.
  • Correos electrónicos, respecto a los cuales es importante destacar que:
    • Los e-mails generados automáticamente por parte del servicio de notificaciones llevan por título "Actividad en GuardedBox", son de carácter meramente informativo y nunca incluirán enlaces o sugerencias para realizar ningún tipo de acción por parte del usuario.
    • La recepción de e-mails de notificación de actividad se puede anular/activar por parte del usuario desde el menú "Mi cuenta".

En función de la modalidad de cuenta, el servicio de notificaciones ofrece:

  • Usuarios Premium:

    • Envío automático opcional de e-mails a los receptores de secretos compartidos cuando se les comparte un nuevo secreto o se modifica uno compartido previamente.
    • Envío automático opcional de e-mails a los miembros de un grupo cuando:
      • Se les añade al grupo.
      • Se añade o edita un secreto del grupo.
      • Se edita una propiedad del grupo.
    • Indicadores visuales que permiten identificar rápidamente los elementos afectados por la notificación, organizados de forma jerárquica, en:
      • La sección asociada al elemento afectado en el menú superior de navegación ("Secretos recibidos" o "Grupos recibidos").
      • Los botones superiores de la vista correspondiente al elemento afectado ("Secretos recibidos" o "Grupos recibidos").
      • La agrupación correspondiente al elemento (usuario origen para los "Secretos recibidos" o el grupo para los "Grupos recibidos").
      • El elemento concreto (secreto o grupo).
    • Los indicadores visuales de notificación pueden eliminarse pulsando sobre su icono correspondiente (de color naranja). Al pulsar sobre un icono de eliminación de notificación, desaparecerán todos los iconos que estén bajo su jerarquía.
    • Opción (activa por defecto) para seleccionar si se desea enviar a los receptores notificación por e-mail cuando se añade o edita un elemento compartido (individual o de grupo).
    • Botones para elegir si una modificación concreta (tanto para secreto individual como de grupo) se desea enviar vía e-mail a los afectados por la modificación. Útil para evitar que llegue un número de mensajes elevado cuando se está llevando a cabo ediciones en un rango pequeño de tiempo.
  • Usuarios Estándar:

    • Recepción de e-mails cuando un usuario con cuenta Premium:
      • Añade o edita un secreto compartido individualmente o en grupo.
      • Añade al usuario a un grupo o edita alguna de la propiedades del grupo.


Enlaces efímeros

GuardedBox fue originalmente diseñado para almacenamiento, gestión y compartición de secretos con cifrado E2E entre usuarios registrados en la solución. Sin embargo, en multitud de ocasiones, es preciso compartir información confidencial con usuarios externos que carecen de cuenta en GuardedBox. Para usuarios concienciados con la seguridad, esto supone un problema, ya que les obliga a compartir algunos de sus secretos por canales externos, más inseguros, y a perder el control sobre la compartición de esta información. Para minimizar este problema, la versión 4.0.0 de GuardedBox incorpora una disruptiva funcionalidad, denominada "Enlaces efímeros", que permite generar un enlace autocontenido a cualquier secreto individual que se hace llegar a los usuarios receptores por canales externos de forma que, al acceder a él, obtengan acceso de lectura a los valores del secreto asociado manteniendo el cifrado E2E. Los enlaces efímeros tienen como propiedades:

  • Nombre/descripción (opcional): permite al creador del enlace asignarle información que considere descriptiva para la identificación del enlace. La descripción puede incluir referencias al secreto asociado, el nombre de su propietario, el del receptor, la fecha y el medio por el que se compartió, etc. Está actualmente limitado a 100 caracteres.
  • Contraseña: permite proteger el acceso al enlace con una contraseña, que debería hacerse llegar al receptor por un canal diferente al utilizado para compartir el enlace.
  • Duración: permite establecer un límite temporal para la disponibilidad del enlace. La duración se muestra en formato UTC, en función de la configuración del sistema propia del navegador, para que sea consistente entre usuarios ubicados en distintas zonas horarias.
  • Límite de accesos: permite establecer un límite en el número de veces que se accede al enlace. El back-end de GuardedBox impedirá superar este límite.

Las ventajas de usar enlaces efímeros para compartir secretos respecto a utilizar otros canales externos con cifrado E2E son:

  • Si el valor del secreto cambia, no será necesario volver a generar un enlace y enviarlo, ya que el acceso a un enlace vigente siempre proporciona el valor actual del secreto, aunque haya cambiado desde que el enlace se compartió.
  • Mejora la gestión del secreto, ya que es posible crear diferentes enlaces al mismo secreto para diferentes receptores, y GuardedBox mostrará todos los enlaces existentes y sus propiedades. El campo "nombre" puede usarse para identificar el propósito del enlace, a quién se le compartió, en qué fecha, etc.
  • Restringiendo al máximo la duración del enlace y el número de accesos, se evita que posibles filtraciones del enlace comprometan el valor del secreto: así, si se comparte el enlace en un correo permitiendo un único acceso, aunque por algún error ese correo llegue a nuevas manos no será posible ver el contenido del secreto, lo que sí sería posible si se hubiera compartido el secreto directamente vía e-mail.


Filtro

La interfaz de GuardedBox está diseñada para presentar la información de manera simple y sin sobrecargar la pantalla, pero, a medida que aumenta el número de secretos/grupos de un usuario, puede resultar útil limitar esta información a únicamente ciertos elementos.

La funcionalidad "Filtro" permite introducir en el campo "Filtro" una secuencia de caracteres, de forma que únicamente los elementos que contengan dicha secuencia se muestren en pantalla. El filtro siempre actúa sobre el nombre de los secretos y los nombres de sus propiedades y, además:

  • En la vista "Secretos recibidos", permite filtrar por el nombre del propietario del secreto que lo compartió.
  • En la vista de Grupos, permite filtrar tanto por el nombre del grupo como por el nombre del usuario propietario del grupo.

El filtro está diseñado de forma que:

  • A medida que el usuario introduce caracteres en el campo "Filtro", el interfaz se refresca mostrando solo los elementos que cumplen el criterio de filtrado.
  • Los elementos que concuerdan con el filtro se resaltan en azul para permitir su rápida identificación.
  • El filtro está preparado para no diferenciar entre mayúsculas y minúsculas y obviar los acentos.

Noticias más relevantes

  • 2022/06/27: Publicada la versión 7.0.1 de GuardedBox, orientada principalmente a entornos corporativos, en la que se incorpora la funcionalidad de panel de administración en despliegues corporativos desde el que se pueden gestionar las cuentas del entorno. Complementariamente, se ha implementado un endpoint para integración con directorios corporativos de usuarios, por ejemplo, Active Directory, también para despliegues corporativos.
  • 2022/06/20: Publicada la versión 6.2.0 de GuardedBox, que ofrece un , mejoras en las , nuevas , mejoras en el y . Como de costumbre, para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo en el back-end y en el front-end.

    • Se incorpora al menú "Mi cuenta - Información de mi cuenta" un nuevo campo "Licencia", que informa del tipo de licencia que está actualmente asociada a la cuenta de entre todas las disponibles para el usuario en el menú "Mi cuenta - Licencias". La licencia que GuardedBox asocia a la cuenta será siempre la mejor de entre todas las disponibles para el usuario.
    • La sección "Licencias" de la vista "Mi cuenta" permite gestionar las licencias vinculadas al usuario, incluyendo:
      • Una tabla de licencias, que, para cada entrada, muestra: el identificador de la licencia, el email del propietario, el email del usuario al que está actualmente asignada, el tipo de licencia, y sus fechas de asignación y expiración.
      • La posibilidad de asignar las licencias no asignadas actualmente, y reasignar y deasignar una licencia otorgada a un usuario concreto.
      • La opción de filtrar por cualquiera de los campos de la tabla (en la modalidad de cuenta Premium).
      • Introducir un código de licencia: si el código es válido (está vigente en la fecha actual), se generará una nueva licencia para el usuario, y sus datos se mostrarán en la tabla de licencias.
    • Se incorpora notificaciones por email ante eventos relativos a las licencias y a actualizaciones en la modalidad de cuenta asignada a un usuario:
      • Cuando el usuario recibe una nueva licencia, que además informa de la modalidad de cuenta a la que la licencia da derecho.
      • Cuando se desasigna una licencia a un usuario.
      • Cuando se registra una nueva cuenta, el email de confirmación incluye la modalidad de cuenta y la duración de esta modalidad.


    • Se ha creado una caché con los emails a los que se ha invitado durante una sesión para evitar el envío de invitaciones repetidas a una misma dirección de correo.
    • El estado del switch "Notificar a los receptores/participantes por email" se mantiene al último fijado por el usuario durante el tiempo en que dure la sesión.
    • Se ha incorporado un botón "Guardar y notificar..." para que el usuario que está editando un elemento decida si quiere que su acción provoque el envío de una notificación por email a los usuarios afectados. De este modo, se puede evitar que un usuario que está realizando ediciones sucesivas genere una cantidad de mensajes molesta para los destinatarios.


    • Se ha renovado el aspecto de la barra de navegación superior, que, adicionalmente, se mantiene fija.
    • El color de los botones de los menús de edición de secretos va cambiando según el escenario (por ejemplo, si se detecta que ha habido un cambio, los botones de "Guardar" y "Cancelar" se resaltan).
    • Se ha modificado el icono vinculado a los enlaces a secretos.
    • Se ha sustituido por un popup el modal que se mostraba si, en el menú de creación de secretos, el usuario pulsaba en el botón "Guardar" sin introducir ninguna propiedad.
    • Se ha incluido un botón para sustituir un fichero por otro, sin tener que eliminar el inicial y cargar desde cero el nuevo.
    • El error debido a un problema de conexión con el servidor se gestiona de forma diferente a los demás y no fuerza a reiniciar sesión.


    • Es posible enviar invitaciones de registro a nuevos usuarios desde la sección "Mi cuenta", sin tener que pasar por compartirles un secreto o añadirlos a un grupo.


    • Se ha sustituido el generador de números aleatorios (tanto en el back-end como en el front-end) por uno de tipo DRBG .
    • Las claves criptográficas se anulan al resetear la página y al cerrar la pestaña del navegador.


    • Se ha activado http2.
    • En la vista "Mi cuenta" se muestra la fecha de inicio de la sesión actual y la del último inicio de sesión, lo que permite detectar situaciones anómalas.
    • El tiempo máximo de duración de una sesión se establece en 48 horas, independientemente de que la sesión esté generando actividad.
  • 2022/05/09: Publicada la versión 5.0.0 de GuardedBox, que implementa múltiples funcionalidades destinadas a que los usuarios tienen de sus secretos y grupos, , y un potente de secretos y usuarios. Como de costumbre, para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo en el back-end y en el front-end.

    • Se ha creado una nueva vista "Grupos", que unifica las vistas Mis grupos y Grupos recibidos de versiones anteriores, en la cual:
      • Es posible visualizar todos los grupos juntos o diferenciar entre los propios y los recibidos mediante un interruptor "Mostrar los grupos juntos".
      • Se ha añadido un campo "Notas" para cada grupo, que da al propietario flexibilidad para reflejar cualquier cuestión que considere de interés, por ejemplo, el propósito del grupo, las políticas de gestión de los secretos del grupo, información de contacto del admin, o cualquier otra.
      • Se ha reorganizado el menú asociado a un grupo, que queda dividido en: 1) iconos vinculados a la gestión del grupo y 2) iconos vinculados a la gestión de los secretos del grupo. Entre estos últimos, se ha incluido un botón para refrescar únicamente los secretos de ese grupo.
      • Se han añadido botones para mostrar y ocultar todas las propiedades de todos los secretos del grupo.
    • Se ha añadido un campo de metadatos a cada una de las propiedades de un secreto, que muestra la fecha de última modificación y el usuario que la realizó, y el tamaño en el caso de los ficheros, lo que permite identificar rápidamente qué elementos de un secreto han cambiado, incrementando el control sobre ellos y complementando el sistema de notificaciones. El usuario puede ocultar estos metadatos mediante el interruptor "Mostrar metadatos de los secretos".


    • Se ha reducido sustancialmente el tiempo de recarga de los grupos, que presentaba una demora debido a la implementación del spinner de carga.
    • Se ha implementado una caché con el resultado de ciertas operaciones Diffie-Hellman asociadas a los secretos de grupo, al objeto de mejorar el rendimiento de las operaciones de cifrado en la vista de "Grupos".


    • Cambios en los menús de creación y edición de un secreto:
      • Desaparece la primera propiedad, que no resultaba necesaria para secretos que contuvieran solo ficheros y que el usuario debía eliminar manualmente.
      • El botón "Cancelar" se colorea en rojo cuando el usuario ha realizado alguna modificación sobre cualquier propiedad o el nombre del secreto.
      • Se solicita al usuario confirmación al pulsar el botón "Cancelar" si se detecta que ha realizado modificaciones sobre cualquier propiedad del secreto.
      • Se muestran los metadatos de todas las propiedades:"Fecha de edición", Autor y "Tamaño" (para el caso de propiedades que sean ficheros).
      • Las propiedades que son ficheros presentan metadatos tanto para el propio fichero como para las notas vinculadas a él, permitiendo fácilmente diferenciar qué elemento se ha editado, de forma consistente con las notificaciones recibidas.
      • Las notificaciones visuales vinculadas a elementos de tipo secreto o grupo se pueden descartar ahora individualmente (presionando sobre un determinado globo) o en conjunto (a través del globo destinado a tal efecto).


    • El nuevo mecanismo de filtrado de la modalidad de cuenta Premium permite al usuario localizar rápidamente los secretos que son de su interés.


    • Actualización a la versión 17.0.3 de Java.
    • Actualización a la versión 2.6.6 de Spring Boot.
    • Actualización a la versión 3.15.4 de Alpine.
    • Actualización a la versión 17.9.0 de Node.js.
    • Actualización a la versión 20.10.14 de docker.
    • Corregido un bug por el cual los tooltips se mostraban en algunos dispositivos móviles al tocar en los botones y no se ocultaban.
  • 2022/03/23: Publicada la versión 4.0.0 de GuardedBox, que implementa una disruptiva funcionalidad denominada que permite a un usuario registrado generar un enlace a cualquiera de sus secretos individuales para compartirlo fuera de GuardedBox con personas no registradas, manteniendo el cifrado E2E y proporcionando las máximas medidas de seguridad. Los enlaces efímeros se incorporan en la modalidad de cuenta Premium, al igual que la funcionalidad asociada a la y el sistema de . Para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo las siguientes en el back-end y en el front-end:

    • Actualización a la versión 17.0.2+8 de Java.
    • Actualización a la versión 2.6.4 de Spring Boot.
    • Actualización a la versión 17.6 de Node.js.
  • 2022/01/20: Publicada la versión 3.2.0 de GuardedBox, con mejoras relevantes en la ofrecida en la modalidad de cuenta Premium e incrementa a 20 el número máximo de propiedades de un secreto.

    • Incorporación de un campo opcional "Notas" para las propiedades de tipo fichero que permite al usuario añadir información adicional que puede ser relevante para su gestión, como quién lo creó, quién lo modificó por última vez, qué cambios presenta, y cualquier otro dato que se considere importante. Este campo de "Notas" se puede desplegar desde un icono específico y a través de los iconos de ojo de la propiedad o el secreto.
    • Los ficheros que se incorporen al secreto a partir de esta nueva versión mostrarán la información de su tamaño y su fecha de incorporación. Se usa formato UTC para que la fecha sea consistente independientemente de la zona horaria de cada usuario, así como el valor de "LOCALE".

  • 2021/12/21: Publicados los tres vídeos (de 18 minutos cada uno) en la sección de "Gestión de Secretos" del módulo 3 de "Securización de entornos personales y de trabajo" de C1b3rWall Academy 2021-2022, impartidos por Mónica Salas, Juan José Torres y Raúl Siles (DinoSec).

    YouTube: Gestión de Secretos I, Gestión de Secretos II, y Gestión de Secretos III.

  • 2021/04/12: Publicada la versión 3.0.0 de GuardedBox, en la que se incorpora una modalidad Premium con diversas funcionalidades que complementan el almacenamiento y gestión de secretos. Se añaden varias , y, para seguir ofreciendo el máximo nivel de seguridad, se han realizado múltiples en el back-end y en el front-end.

    • Desactivada la autocorreción y el autocapitalizado en las cajas de texto de los secretos. Esto es especialmente importante en las propiedades de tipo contraseña, que podían ser autocorregidas por ciertos navegadores.
    • Los botones de mostrar brevemente los valores de un secreto ya no ocultan el valor si se oculta y se vuelve a mostrar manualmente rápidamente.
    • Las vistas modales de secretos, grupos, secretos de grupo y dispositivos de confianza no invocan la operación de salvado si no se ha llevado a cabo ninguna modificación, incluso aunque se haga click en el botón ✓.
    • Se ha modificado el icono de copiar para diferenciarlo de las nuevas funcionalidades de ficheros disponibles para la versión Premium.


    • Actualización a la versión 15.0.2+7 de Java y a la versión 17 de React.
    • Actualización de Docker a la versión 20.10.
    • Actualización de Alpine a la versión 3.13 para corregir las últimas vulnerabilidades solucionadas en OpenSSL 1.1.1k.
    • Actualización de Webpack a la versión 5.
    • Actualización de Node a la versión 14.
    • Modificación de la Content Security Policy (CSP) con una configuración por defecto aún más restrictiva.

¿Qué es un secreto en GuardedBox?

Un es cualquier dato sensible y confidencial cuyo acceso por parte de terceros no autorizados debe protegerse. Los secretos pueden tener carácter individual o ser compartidos por un número limitado de usuarios. Aunque en el mundo digital es frecuente asociar "secreto" con "credencial" o "contraseña", el concepto de secreto va mucho más allá. Algunos ejemplos de son...


  • Los secretos en GuardedBox están compuestos por: un nombre que identifica al secreto y una serie de propiedades (hasta un máximo de 10) que almacenan la información sensible. Cada propiedad está compuesta por un identificador de la propiedad y un valor (identificador=valor).

    • El código de una caja fuerte o de acceso a un edificio:
      {caja fuerte; código=0123456789}
      {acceso edificio; código=01234}
    • Las coordenadas GPS de un enclave estratégico:
      {coordenadas GPS; 41°24'12.2"N 2°10'26.5"E}
    • Las credenciales de acceso a un servicio:
      {correo corporativo; usuario=usuario@dominio.es, contraseña=<contraseña muy secreta>}
    • Una tarjeta de crédito:
      {tarjeta crédito; número=4537 123456 98765, CVV=123, caducidad=04/2020}
    • Una nota segura, por ejemplo, el protocolo de acceso a un servicio:
      {acceso servicio vpn; pasos="Acceder a 'vpn.dominio.es'","Introducir usuario y contraseña","Rellenar el OTP", "Contactar con soporte@servicio.es en caso de problemas técnicos"...}
    • La fórmula química de un producto estratégico:
      {fórmula polímero elástico; óxido de calcio=44%, óxido de aluminio=3,2%, agua=20%}
    • Una identidad:
      {número de historia clínica; nombre=Alicia DinoSec, NHC=2012345, médico=David R.J.}
    • Una clave criptográfica:
      {clave GPG; pública=-----BEGIN PGP PUBLIC KEY BLOCK----- ..., privada=-----BEGIN PGP PRIVATE KEY BLOCK----- ..., passphrase=<contraseña muy secreta>}
    • Un token de una API:
      {token API Twitter; oauth_token=0123456789ABCD...XYZ}
  • Los tamaños máximos definidos actualmente para un secreto en GuardedBox son:
    • Nombre del secreto: 100 caracteres.
    • Identificador (nombre) de una propiedad: 100 caracteres.
    • Valor de una propiedad: 4.000 caracteres. Este tamaño debería ser suficiente para almacenar todo tipo de secretos, credenciales (usuario y contraseña), contraseñas o frases de paso (passphrases), claves criptográficas, certificados digitales, tokens, IDs, etc..

Ventajas de GuardedBox

GuardedBox es una plataforma online destinada tanto al almacenamiento seguro de secretos como a su compartición segura y gestión integral, con una interfaz fácil de usar, y que presenta Uno de los principales elementos diferenciadores de GuardedBox es su orientación para proporcionar al usuario ...

  • Almacenamiento seguro de los secretos propios y compartidos, con cifrado E2E, de forma que, para poder acceder al contenido de tus secretos, es necesario, simultáneamente:
    • Conocer tus credenciales.
    • Proporcionar el segundo factor de autentificación (2FA), bien teniendo acceso a tu correo electrónico y obteniendo el OTP, bien iniciando sesión desde un dispositivo de confianza (ésta última opción está disponible desde la versión 2.0).
  • Compartición de secretos de forma individual y colectiva, ésta última basada en grupos de usuarios.
  • Disponibilidad de un potente generador de contraseñas aleatorias, que se acompaña de un medidor de fortaleza, y que permite crear contraseñas de longitud configurable y en base a conjuntos de caracteres y símbolos que sean aceptados por diferentes servicios.
  • Acceso online desde cualquier navegador web en plataformas móviles y tradicionales. No requiere la instalación de ninguna applicación o app móvil.
  • Utilización de mecanismos criptográficos modernos y avanzados con gestión de claves transparente (por defecto) para el usuario.
  • Disponibilidad en castellano y en inglés.
  • Comunicaciones por e-mail reducidas orientadas a
    • El único enlace web (link o URL) que se recibirá vía e-mail desde GuardedBox es el del registro, o de invitación por parte de otro usuario. Se deberá ignorar cualquier otro enlace web recibido en nombre de GuardedBox.
    • El formato del enlace web contenido en el e-mail oficial de registro o de invitación es: https://guardedbox.com/#/registration?token=<01234...xyz>.
    • Todos los e-mails remitidos automáticamente por GuardedBox tienen como dirección origen "accounts@guardedbox.com". Se recomienda verificar que los e-mails recibidos desde esta dirección no son clasificados como spam.
    • El resto de e-mails remitidos por GuardedBox únicamente contendrán información acerca de las actividades asociadas a tu cuenta, sin incluir ningún enlace web o referencia externa. Estos mensajes incluyen los códigos de acceso empleados para el segundo factor de autentificación (2FA), confirmaciones, notificaciones de actividades sospechosas, etc.
    • En ningún caso GuardedBox te pedirá información adicional, ni que realices cualquier otro tipo de acción, a través de correo electrónico. Por tanto, si recibes cualquier otra comunicación en nombre de GuardedBox, por favor, comunícalo lo antes posible a través de los métodos de contacto de la página web principal.
  • La longitud mínima de la frase de paso (passphrase, o contraseña) es de 16 caracteres y de al menos un 80% de fortaleza. Sin embargo, se recomienda hacer uso de frases de paso de más de 20 caracteres y de un 100% de fortaleza.
  • Dentro de nuestros objetivos está el adaptar GuardedBox a las necesidades y sugerencias de la comunidad, por lo que estaremos muy atentos a vuestros comentarios (puedes unirte al grupo de Telegram).


  • GuardedBox actúa a modo de panel de control para la compartición de secretos, no solo en el momento actual, sino en momentos pasados, permitiendo ver de forma intuitiva la siguiente información, tanto para secretos individuales como de grupo:
    • Con quién están actualmente compartidos los secretos.
    • Con quién estuvieron compartidos los secretos en el pasado.
    • Saber si el destinatario de un secreto lo rechazó.
    • A qué usuarios se ha invitado para compartir el secreto, e incluso saber si aceptaron ya la invitación o si están pendientes de registrarse.
    • Cuántas personas pertenecen actualmente a un grupo.
    • Qué usuarios pertenecieron a un grupo en el pasado pero no actualmente, así como la razón por la cual ya no están en él:
      • El usuario fue expulsado del grupo.
      • El usuario abandonó voluntariamente el grupo.
      • El usuario eliminó su cuenta de GuardedBox.
  • Permite comprobar las claves públicas de cifrado, tanto propia como de los usuarios con los que se va a interactuar en GuardedBox.
  • El destinatario de un secreto puede rechazarlo, al igual que salir de un grupo al que fue añadido; en ambos casos, el usuario origen conocerá esta circunstancia.
  • El control de errores permite al usuario saber por qué causa está fallando determinada operación asociada a la compartición de un secreto.
  • Permite establecer entornos colaborativos de gestión de secretos:
    • El propietario de un grupo puede establecer que el resto de miembros puedan gestionar (crear o añadir/editar o modificar/eliminar) los secretos del grupo.
    • El propietario de un grupo puede decidir si desea que sus integrantes se vean entre sí.

Limitaciones de GuardedBox

La versión actual de GuardedBox presenta , algunas de las cuales serán potencialmente eliminadas en versiones futuras de GuardedBox...


  • No es posible recuperar los secretos almacenados en GuardedBox, ni para el usuario ni para el servidor, sin conocer la contraseña de acceso. Esto se debe a que el cifrado de los secretos se lleva a cabo en base a las claves criptográficas derivadas de la contraseña durante el inicio de sesión.
  • Un usuario puede eliminar su cuenta de GuardedBox, pero no se dispone de ningún mecanismo para almacenar una copia de seguridad de los secretos que permita recuperarlos si se vuelve a dar de alta la cuenta con el mismo e-mail. El usuario es responsable de guardar los secretos manualmente antes de eliminar su cuenta.
  • No se dispone de un mecanismo para exportar los secretos almacenados en GuardedBox a otros gestores de contraseñas, o a formatos concretos, por lo que el usuario deberá copiarlos manual e individualmente si desea extraerlos.
  • GuardedBox no soporta actualmente mecanismos de segundo factor de autentificación (2FA) basados en TOTPs offline.

¿Cómo empezar a utilizar GuardedBox?

Aunque el uso de GuardedBox es muy intuitivo, te proporcionamos algunos escenarios de uso (correspondientes a la versión 1.0 de GuardedBox) para empezar a utilizarlo (si realmente haces uso de esta documentación, dínoslo y la ampliaremos con nuevos escenarios de uso para la versión 2.x...).

Diseño e implementación

GuardedBox tiene como premisa la protección de tus secretos cumpliendo con


El diseño e implementación de GuardedBox se basan en un principio de mínima confianza en el servidor que le incapacita para acceder a los secretos de los usuarios, ya que todas las operaciones de cifrado y descifrado se llevan a cabo en el lado cliente, al igual que la gestión del material criptográfico privado, empleando cifrado extremo a extremo (E2E, End to End Encryption) para todos los intercambios de información entre el usuario y el servidor, y entre distintos usuarios. De esta forma se garantiza que, aun en caso de compromiso del servidor, los secretos de los usuarios y sus claves privadas no serían desvelados.

Debido a que la seguridad de GuardedBox reside en el navegador web del usuario, es muy importante que se haga uso siempre de un navegador web de confianza, que debe mantenerse actualizado en todo momento.

Por otro lado, GuardedBox intenta fomentar la facilidad de uso de la solución, haciendo que, por defecto, la gestión de claves sea totalmente transparente para el usuario. Para hacer uso de GuardedBox, únicamente es necesario disponer de un navegador web (en un ordenador tradicional o en un dispositivo móvil).

El despliegue de GuardedBox está basado en tecnologías que cumplen los estándares de seguridad más exigentes de la industria:

  • DNSSEC: los dominios de GuardedBox están firmados mediante DNSSEC para evitar ataques de suplantación de DNS.
  • TLS: la implementación TLS de los dominios de GuardedBox emplea certificados digitales y las buenas prácticas de HTTPS (como por ejemplo STS) para que tu navegador web pueda validar y proteger tu acceso al servicio, únicamente a través de HTTPS.
  • Cabeceras HTTP de seguridad: el servicio de GuardedBox emplea las buenas prácticas de protección de aplicaciones web a través de numerosas cabeceras HTTP de seguridad.
  • Definición de una política de seguridad en base a security.txt para la recepción de notificaciones de seguridad.
  • Desarrollo de software seguro: el código fuente de GuardedBox ha sido desarrollado empleando las buenas prácticas de seguridad para el desarrollo de software y de aplicaciones web, aprovechando numerosos mecanismos de seguridad.
  • Despliegue seguro: la instancia pública del servicio de GuardedBox ha sido desplegada en la nube (cloud) empleando las buenas prácticas de seguridad para el despliegue de software, servicios y aplicaciones web, implementando numerosos mecanismos de seguridad.

En el futuro se publicará más información y documentación técnica adicional sobre el diseño y la implementación de GuardedBox, especialmente, aquella relacionada con los mecanismos y estándares de seguridad utilizados. Mientras tanto, los interesados pueden consultar el proyecto de código abierto inicial de GuardedBox en GitHub, así como algunas de las presentaciones técnicas que se han realizado en diferentes conferencias de ciberseguridad.

Contacto

Realizamos desarrollos personalizados y despliegues a medida de GuardedBox. Contáctanos a través de la dirección de e-mail info@guardedbox.es. Clave GPG: info.asc (Fingerprint: 9AAB 7E91 3F80 D45D).

Te invitamos también a enviarnos sugerencias, consultas, dudas o cualquier otro comentario sobre GuardedBox.

Para hacernos llegar notificaciones sobre vulnerabilidades, incidentes, o cualquier otro aspecto relacionado con la seguridad de GuardedBox (ver la política de seguridad), por favor utiliza la dirección de e-mail security@guardedbox.es. Clave GPG: security.asc (Fingerprint: 0BCF 552B 92EC BBDD).