GuardedBox

Se recomienda consultar las ventajas y limitaciones de GuardedBox, destacando especialmente:
  • No será posible recuperar los secretos si se olvida la frase de paso (passphrase, o contraseña) de acceso.
  • La versión actual no permite modificar la frase de paso configurada durante el registro. Esta funcionalidad estará disponible en el futuro.
  • Se debe disponer de acceso a la cuenta de correo electrónico para obtener el segundo factor de autentificación (2FA) requerido para iniciar sesión.
  • GuardedBox únicamente enviará enlaces web al correo electrónico de un usuario durante el proceso de registro inicial y como resultado de una invitación procedente de un usuario registrado. Se debe ignorar cualquier otro enlace web recibido en nombre de GuardedBox para evitar ataques de phishing.
By:

DinoSec

Gestor online para almacenamiento y compartición seguros de secretos


GuardedBox es una una solución online de código abierto que permite, desde cualquier dispositivo con un navegador web, el almacenamiento, la compartición y el intercambio de secretos de manera segura, gestionando en el lado cliente todas las tareas de protección y cifrado de los datos, sin confiar en el servidor, y haciendo uso de las mejores prácticas de la industria de ciberseguridad.

Noticias

  • 2020/07/03: Publicada la versión 1.5.1 de GuardedBox, qué no presenta cambios evidentes (en el interfaz de usuario) para sus usuarios pero sí incluye , apostando por nuevas tecnologías, versiones y actualizaciones... (changelog)

    • Actualizada la versión de Java, migrando de Java 13 a Java 14.
    • Actualizadas múltiples librerías y dependencias del front-end, en especial (y desde el punto de vista de seguridad) la librería elliptic de la versión 6.5.2 a la 6.5.3, corrigiendo la vulnerabilidad de ECDSA CVE-2020-13822.

  • 2020/07/01: Publicado el vídeo oficial de la charla técnica GuardedBox: Gestor online para almacenamiento y compartición seguros de secretos (1h 8min) en C0r0n4CON #c0r0n4CON, incluyendo numerosos detalles de su diseño e implementación (como, por ejemplo, los diagramas y explicaciones de los flujos criptográficos).
  • 2020/06/18: Publicada la versión 1.5.0 de GuardedBox. Hasta ahora, la salida de un integrante de un grupo o la retirada de un secreto a un usuario no dejaban ninguna constancia de qué personas podían haber tenido acceso a la información protegida. Con esta nueva versión desde las secciones "Mis grupos" y "Mis secretos". (changelog)

    • Pinchando en el icono del número de integrantes del grupo o del número de personas con las que se ha compartido el secreto, aparecerá una sección dividida en:
      • Compartido con (para secretos)/Integrantes (para grupos): muestra qué usuarios tienen compartido el secreto o son miembros del grupo en el presente.
      • Invitados para compartir(para secretos)/Invitados (para grupos): muestra a qué usuarios se ha enviado invitación a través de GuardedBox para compartirle el secreto o añadirle al grupo en el futuro.
      • Estuvo compartido con (para secretos)/Antiguos integrantes (para grupos): muestra qué usuarios tuvieron el secreto compartido o formaron parte de un grupo en el pasado. El icono a la derecha del email indica el motivo por el cual dejaron de tener acceso al secreto o al grupo. Desde esta sección, se puede:
        • Añadir nuevamente al secreto/grupo al usuario en cuestión, mediante el icono de flecha.
        • Olvidar (representado por "x") que el usuario tuvo acceso al secreto o formó parte del grupo.

          IMPORTANTE: No se debe llevar a cabo esta acción hasta que los valores de las propiedades sensibles del secreto hayan sido modificados después de haber eliminado usuarios del secreto o del grupo, de forma que los nuevos valores invaliden el conocimiento que tenían los usuarios previos sobre el secreto, devolviendo así el control del mismo a sus actuales conocedores.

    • El indicador "0" en el globo de un secreto (que representa que el secreto estuvo compartido con otro usuario pero ahora ya no) o de un grupo (que indica que ahora no tiene integrantes pero que los tuvo):
      • Se mantendrá en ese estado si hay elementos en las listas "Estuvo compartido con"/"Antiguos integrantes", como medio para alertar de que puede haber personas que conocen el valor del secreto, aunque ya no lo tengan compartido.
      • Desaparecerá cuando se haya olvidado al último elemento de la lista "Estuvo compartido con"/"Antiguos integrantes". Es responsabilidad del propietario del secreto o del grupo asegurarse de que esta acción se lleve a cabo únicamente de forma segura (por haberse modificado previamente el valor de los secretos).

  • 2020/06/02: Publicada la versión 1.4.0 de GuardedBox, que desde las secciones "Mis grupos" y "Mis secretos" complementando la Se ha para adaptarlo al nuevo modelo de invitaciones. (changelog)

    • Las invitaciones dirigidas a usuarios no registrados en GuardedBox se almacenan como acciones pendientes en:
      • La sección "Invitados", si la invitación se generó dentro de un grupo.
      • La sección "Invitados para compartir", si la invitación se generó desde el menú de compartición individual de secretos .
    • Cuando se refresque el grupo/el secreto origen de la invitación, GuardedBox comprobará qué usuarios invitados han realizado su registro y:
      • Mostrará el indicador "Registrado" para esos usuarios en las ventanas "Compartir secreto" / "Gestionar integrantes".
      • Proporcionará un botón (representado por una flecha) para proceder a completar la acción pendiente de compartición del secreto (menú "Compartir secreto") o de incorporación al grupo (menú "Gestionar integrantes"), según corresponda, de forma rápida.
      • Para los invitados que aún no han realizado su registro, se incorpora una opción "Reenviar invitación", que envía un nuevo enlace de registro al destinatario.
    • Los usuarios que hayan enviado una invitación recibirán un e-mail de notificación cuando alguno de sus invitados complete el registro en GuardedBox.


    • El rediseño y reimplementación del modelo del sistema de registro contempla tanto registros propios como invitaciones por parte de otros usuarios, limita el reenvío de registros o invitaciones en un breve espacio de tiempo, y evita la enumeración de usuarios de manera anónima.


    • Se ha resuelto el primer 'bug' detectado en GuardedBox, que se introdujo en la versión 1.3.0 con la opción de visibilidad de grupos: al añadir secretos a un grupo del que se había eliminado algún participante, operación que requiere rotar la clave del grupo, se pasaba un parámetro sin inicializar, provocando un error que impedía completar la operación.

  • 2020/05/28: GuardedBox estuvo presente en el primer Foro Digital de Cyber Security & Data Protection de @ISMSForum .
  • 2020/04/27: Publicado el vídeo oficial del Taller práctico para proteger y compartir tus secretos con GuardedBox (42 min), para el público general, en C0r0n4CON #c0r0n4CON.
Histórico de noticias de GuardedBox.

¿Qué es un secreto en GuardedBox?

Un es cualquier dato sensible y confidencial cuyo acceso por parte de terceros no autorizados debe protegerse. Los secretos pueden tener carácter individual o ser compartidos por un número limitado de usuarios. Aunque en el mundo digital es frecuente asociar "secreto" con "credencial", el concepto de secreto va mucho más allá. Algunos ejemplos de son...


  • Los secretos en GuardedBox están compuestos por: un nombre que identifica al secreto y una serie de propiedades (hasta un máximo de 10) que almacenan la información sensible. Cada propiedad está compuesto por un identificador de la propiedad y un valor (identificador=valor).

    • El código de una caja fuerte o de acceso a un edificio:
      {caja fuerte; código=0123456789}
      {acceso edificio; código=01234}
    • Las coordenadas GPS de un enclave estratégico:
      {coordenadas GPS; 41°24'12.2"N 2°10'26.5"E}
    • Las credenciales de acceso a un servicio:
      {correo corporativo; usuario=usuario@dominio.es, contraseña=<contraseña muy secreta>}
    • Una tarjeta de crédito:
      {tarjeta banco; número=4537 123456 98765, CVV=123, caducidad=04/2020}
    • Una nota segura, por ejemplo, el protocolo de acceso a un servicio:
      {acceso servicio vpn; pasos="Acceder a 'vpn.dominio.es'","Introducir usuario y contraseña","Rellenar el OTP", "Contactar con soporte@servicio.es en caso de problemas técnicos"...}
    • La fórmula química de un producto estratégico:
      {fórmula polímero elástico; óxido de calcio=44%, óxido de aluminio=3,2%, agua=20%}
    • Una identidad:
      {número de historia clínica; nombre=Alicia DinoSec, NHC=2012345, médico=David R.J.}
    • Una clave criptográfica:
      {clave GPG; pública=-----BEGIN PGP PUBLIC KEY BLOCK----- ..., privada=-----BEGIN PGP PRIVATE KEY BLOCK----- ..., passphrase=<contraseña muy secreta>}
    • Un token de una API:
      {token API Twitter; oauth_token=0123456789ABCD...XYZ}
  • Los tamaños máximos para un secreto son:
    • Nombre del secreto: 100 caracteres.
    • Identificador (nombre) de una propiedad:100 caracteres.
    • Valor de una propiedad: 4.000 caracteres. Este tamaño debería ser suficiente para almacenar todo tipo de secretos, credenciales (usuario y contraseña), contraseñas o frases de paso (passphrases), claves criptográficas, certificados digitales, tokens, IDs, etc..

Ventajas de GuardedBox

GuardedBox presenta centradas en proporcionar una solución de gestión online de secretos segura y fácilmente usable.


  • Compartición de secretos de forma individual y colectiva basada en grupos de usuarios.
  • Almacenamiento seguro de los secretos propios y compartidos, disponer simultáneamente de acceso a tu correo electrónico.
    • No será posible (ni siquiera para el propio usuario) recuperar los secretos almacenados en GuardedBox si se desconoce el email o la frase de paso (passphrase, o contraseña) asociados a la cuenta de usuario en GuardedBox.
    • Uso obligatorio de un segundo factor de autentificación (2FA) basado en un código de acceso enviado por e-mail.
  • Acceso online desde cualquier navegador web en plataformas móviles y tradicionales. No requiere la instalación de ninguna applicación o app móvil.
  • Utilización de mecanismos criptográficos modernos y avanzados con gestión de claves transparente (por defecto) para el usuario.
  • Disponibilidad en castellano y en inglés.
  • Comunicaciones por e-mail orientadas a
    • El único enlace web (link o URL) que se recibirá vía e-mail desde GuardedBox es el del registro. Se deberá ignorar cualquier otro enlace web recibido en nombre de GuardedBox.
    • El formato del enlace web contenido en el e-mail oficial de registro es: https://guardedbox.com/#/registration?token=<01234...xyz>.
    • Todos los e-mails remitidos automáticamente por GuardedBox tienen como dirección origen "accounts@guardedbox.com". Se recomienda verificar que los e-mails recibidos desde esta dirección no son clasificados como spam.
    • Los e-mails remitidos por GuardedBox únicamente contendrán información acerca de las actividades asociadas a tu cuenta, sin incluir ningún enlace web o referencia externa. Estos mensajes incluyen los códigos de acceso empleados para el segundo factor de autentificación (2FA), confirmaciones, notificaciones de actividades sospechosas, etc.
    • En ningún caso GuardedBox te pedirá información adicional, ni que realices cualquier otro tipo de acción, a través de correo electrónico. Por tanto, si recibes cualquier otra comunicación en nombre de GuardedBox, por favor, comunícalo lo antes posible a través de los métodos de contacto de la página web principal.
  • La longitud mínima de la frase de paso (passphrase, o contraseña) es de 20 caracteres. Se recomienda hacer uso de frases de paso de más de 20 caracteres.
  • Dentro de nuestros objetivos está el adaptar GuardedBox a las necesidades y sugerencias de la comunidad, por lo que estaremos muy atentos a vuestros comentarios.

Limitaciones de GuardedBox

La versión actual de GuardedBox (v1.0.0) presenta que serán eliminadas en versiones futuras de GuardedBox...


  • No se permite actualmente cambiar la frase de paso (passphrase, o contraseña), por lo que se recomienda ser muy cuidadosos en la selección de una frase de paso muy robusta, pero fácilmente recordable únicamente por su propietario, durante el proceso de registro inicial.
  • Actualmente solo se soporta la utilización de un segundo factor de autentificación (2FA) mediante códigos de acceso enviados a través de e-mail. Versiones futuras de GuardedBox permitirán la utilización de otros mecanismos de 2FA (como TOTPs offline).
  • Un usuario puede eliminar su cuenta de GuardedBox, pero no se dispone de ningún mecanismo para almacenar una copia de seguridad de los secretos que permita recuperarlos si se vuelve a dar de alta la cuenta con el mismo e-mail. El usuario es responsable de guardar los secretos antes de eliminar su cuenta.
  • No se dispone de un mecanismo para exportar los secretos almacenados en GuardedBox a otros gestores de contraseñas, o a formatos concretos, por lo que el usuario deberá copiarlos manual e individualmente si desea extraerlos.
  • El despliegue inicial de GuardedBox pretende proporcionar una solución útil y segura para la comunidad, de manera ágil y con caracter gratuito, pero
    • El rendimiento y/o disponibilidad del servicio en esta fase inicial puede verse eventualmente afectado por el número total de usuarios conectados simultáneamente. Haremos todo lo posible para solventar cualquier incidencia que afecte al servicio para garantizar que esté plenamente operativo y funcionando para todos los usuarios.
    • Pretendemos incorporar nuevas capacidades y funcionalidades a corto plazo, en función de la demanda y de las sugerencias recibidas de la comunidad. La evolución de GuardedBox puede ocasionar cambios en el funcionamiento del servicio, y afectar temporalmente a su disponibilidad.
  • Versiones futuras de GuardedBox solucionarán algunas de estas limitaciones, tal como se detalla en las limitaciones técnicas de la v1.0.0.
  • DinoSec está asumiendo los costes asociados al desarrollo, despliegue y mantenimiento de la infraestructura de GuardedBox. La potencial ampliación de recursos en caso de que la utilización del servicio llegase a exceder los actualmente disponibles estará condicionada por la capacidad de DinoSec para asumir dichos costes.

¿Cómo empezar a utilizar GuardedBox?

Aunque el uso de GuardedBox es muy intuitivo, te proporcionamos algunos escenarios de uso para empezar a utilizarlo (en las próximas semanas se irán completando e incorporando nuevos escenarios de uso...).

Diseño e implementación

GuardedBox tiene como premisa la protección de tus secretos cumpliendo con


El diseño e implementación de GuardedBox se basan en un principio de mínima confianza en el servidor que le incapacita para acceder a los secretos de los usuarios, ya que todas las operaciones de cifrado y descifrado se llevan a cabo en el lado cliente, al igual que la gestión del material criptográfico privado, empleando cifrado extremo a extremo (E2E, End to End Encryption) para todos los intercambios de información entre el usuario y el servidor, y entre usuarios. De esta forma se garantiza que, aun en caso de compromiso del servidor, los secretos de los usuarios y sus claves privadas no serían desvelados.

Debido a que la seguridad de GuardedBox reside en el navegador web del usuario, es muy importante que se haga uso siempre de un navegador web de confianza, que debe mantenerse actualizado en todo momento.

Por otro lado, GuardedBox intenta fomentar la facilidad de uso de la solución, haciendo que, por defecto, la gestión de claves sea totalmente transparente para el usuario. Para hacer uso de GuardedBox, únicamente es necesario disponer de un navegador web (en un ordenador tradicional o en un dispositivo móvil).

El despliegue de GuardedBox está basado en tecnologías que cumplen los estándares de seguridad más exigentes de la industria:

  • DNSSEC: los dominios de GuardedBox están firmados mediante DNSSEC para evitar ataques de suplantación de DNS.
  • TLS: la implementación TLS de los dominios de GuardedBox emplea certificados digitales y las buenas prácticas de HTTPS (como por ejemplo STS) para que tu navegador web pueda validar y proteger tu acceso al servicio, únicamente a través de HTTPS.
  • Cabeceras HTTP de seguridad: el servicio de GuardedBox emplea las buenas prácticas de protección de aplicaciones web a través de numerosas cabeceras HTTP de seguridad.
  • Definición de una política de seguridad en base a security.txt para la recepción de notificaciones de seguridad.
  • Desarrollo de software seguro: el código fuente de GuardedBox ha sido desarrollado empleando las buenas prácticas de seguridad para el desarrollo de software y de aplicaciones web, aprovechando numerosos mecanismos de seguridad.

En las próximas semanas se publicará más información y documentación técnica adicional sobre el diseño y la implementación de GuardedBox, especialmente, aquella relacionada con los mecanismos y estándares de seguridad utilizados. Mientras tanto, los interesados pueden consultar el proyecto de código abierto de GuardedBox en GitHub.

Contacto

Te invitamos a enviarnos sugerencias, consultas, dudas o comentarios a la dirección de e-mail info@guardedbox.es. Clave GPG: info.asc (Fingerprint: 9AAB 7E91 3F80 D45D).

Si quieres enviarnos notificaciones sobre vulnerabilidades, incidentes, o cualquier otro aspecto relacionado con la seguridad de GuardedBox (ver la política de seguridad), por favor utiliza la dirección de e-mail security@guardedbox.es. Clave GPG: security.asc (Fingerprint: 0BCF 552B 92EC BBDD).