Diciembre 2022
- 2022/12/12: GuardedBox recibe del Organismo de Certificación del Centro Criptológico Nacional el veredicto del informe técnico de evaluación, con resultado PASA, para el proceso de Certificación Nacional de Seguridad (LINCE).
- 2022/12/12: GuardedBox recibe el resultado del Informe Técnico de Cualificación emitido por el Departamento de Productos y Tecnologías del CCN, PYTEC con resultado FAVORABLE para la familia: Cifrado y compartición segura de información. Con ello, obtiene el distintivo de servicio cualificado y será incluido en el Catálogo de Productos de Seguridad TIC, CPSTIC, recomendados por el Centro Criptológico Nacional.
- 2022/12/07: Liberada la versión 9.0.0 de GuardedBox, con nuevas e interesantes funcionalidades: recordatorios, copia de seguridad y restauración, y TOTP como nuevo mecanismo de 2FA (para obtener los detalles, consultar la sección "Principales características de GuardedBox" ). Además, para mantener el máximo nivel de seguridad, se han actualizado diversos componentes y librerías.
Noviembre 2022
- 2022/11/03: GuardedBox obtiene el certificado de cumplimiento con el ENS en categoría ALTA.
Septiembre 2022
- 2022/12/18: Liberada la versión 9.1.0 de GuardedBox, con algunos cambios en los hashes de los logos y algún cambio menor en la presentación de ciertos iconos.
- 2022/12/07: Liberada la versión 9.0.0 de GuardedBox, con nuevas e interesantes funcionalidades: recordatorios, copia de seguridad y restauración, y TOTP como nuevo mecanismo de 2FA (para obtener los detalles, consultar la sección "Principales características de GuardedBox" ). Además, para mantener el máximo nivel de seguridad, se han actualizado diversos componentes y librerías.
- 2022/09/14: Publicada la versión 8.3.1 de GuardedBox, con múltiples optimizaciones de sincronización ante cambios de las claves públicas de cifrado de los usuarios existentes en la lista de contactos, tanto al verificar los contactos en operaciones de compartición de secretos y grupos, como al añadir nuevos contactos. Se han introducido mejoras para realizar la rotación interna de claves criptográficas de los secretos al eliminar a un miembro de un grupo o un enlace externo. Se han mejorado los mecanismos de renovación del certificado digital para HTTPS mediante el protocolo ACME, junto a otros cambios menores.
Agosto 2022
-
2022/08/20: Publicada la versión 8.2.0 de GuardedBox, con la nueva funcionalidad de contactos, que supone un cambio significativo y disruptor tanto en la gestión de con quién se comparten (o de quién se reciben) secretos, individuales y en grupo, como en la verificación de la identidad (y de las claves criptográficas) de otros usuarios, permitiendo a los usuarios establecer controles de seguridad exhaustivos. Adicionalmente se han introducido mejoras visuales para disponer de mayor control sobre los usuarios que tuvieron compartido un secreto individual o que fueron miembros de un grupo, que aplican a todas las vistas o pestañas principales. Se ha añadido un sistema de blockchain para proporcionar integridad a los eventos del sistema de auditoría. Se han añadido controles de verificación y seguridad adicionales para acciones críticas, como la eliminación de cuentas.
- La nueva funcionalidad de contactos, disponible a partir de las primeras versiones v8.x.y de GuardedBox, hace que sea necesario añadir a otros usuarios a la lista de contactos cuando se desea compartir un secreto individual con ellos, o agregarlos a un grupo.
- Se ha añadido una nueva pestaña, denominada "Mis contactos", que permite a cada usuario gestionar sus contactos.
- La lista de contactos se muestra en un nuevo desplegable asociado al cuadro de texto de la ventana de usuarios con los que se está compartiendo un secreto individual o la ventana de participantes de un grupo, de manera que ya no será necesario teclear la dirección de e-mail completa del usuario destinatario, mejorando tanto la usabilidad como la seguridad (evitando que se comparta por error con usuarios fuera de la lisa de contactos).
- Adicionalmente, es posible verificar la clave pública de cifrado de los contactos y recibir diferentes avisos cuando esta cambie. Estas capacidades son especialmente útiles para los usuarios más concienciados con la seguridad, ya que permiten de forma sencilla realizar una correcta gestión de la verificación de la identidad y de las claves criptográficas de otros usuarios, y establecer el nivel de confianza que se tiene en ellas.
- Se han incorporado múltiples capacidades de sincronización para conocer cuando se producen cambios en las claves criptográficas de los contactos, escenario que es reflejado mediante un indicador de actividad en la vista de contactos, para proceder a su re-verificación (o a modificar el nivel de confianza) lo antes posible.
- Se recomienda que los usuarios lleven a cabo la verificación de las claves criptográficas de sus contactos a través de un canal seguro y siempre que se produzcan cambios, por ejemplo, tras la renovación de las claves o tras un cambio de contraseña.
- Existen numerosas novedades y capacidades asociadas a la nueva funcionalidad de contactos y de verificación de identidad que detallaremos y documentaremos en futuras publicaciones...
- Complementando los colores e indicadores empleados para reflejar el estado de compartición de secretos individuales o de grupo con otros usuarios, la ventana de receptores de un secreto o participantes de un grupo muestra un nuevo indicador rojo al lado de los ex-miembros que ya no están registrados.
- Se solicita la contraseña del usuario en sesión al eliminar su propia cuenta (no únicamente su e-mail).
- Se solicita la contraseña del administrador al eliminar una cuenta de otro usuario (no únicamente el e-mail del usuario a borrar).
-
2022/08/03: Publicada la versión 7.2.1 de GuardedBox, con un nuevo sistema de auditoría para entornos corporativos que ofrece un registro detallado y una gestión empresarial completa de los secretos en las organizaciones, muy útil (entre otros) de cara a la gestión de un incidente de seguridad. Se han incorporado mejoras para la gestión de claves, y mecanismos de protección frente a ataques avanzados, e implementado la esperada funcionalidad de reasignación del propietario de un grupo. Ampliadas las capacidades de las cuentas de evaluación, y actualizados diferentes literales y mensajes del interfaz gráfico. Como de costumbre, para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo actualizaciones en el back-end y en el front-end.
- Se añade la posibilidad de verificar las claves criptográficas de los antiguos miembros de un secreto o grupo.
- En una futura versión de GuardedBox habrá muchas novedades asociadas a la gestión y verificación de las claves criptográficas del resto de usuarios y de su identidad.
- Los usuarios pueden renovar de forma muy sencilla sus claves criptográficas, desde la vista de "Mi cuenta", sin necesidad de tener que modificar su contraseña.
- Se han añadido mecanismos de integridad avanzados mediante firmas criptográficas de los propietarios y participantes de secretos y grupos, para disponer de protección frente a ataques de manipulación avanzados.
- Los usuarios pueden ceder la propiedad a otro usuario miembro actual del grupo, para que se encargue de la gestión del grupo a partir de ese momento (por ejemplo, en reasignaciones de responsabilidades o proyectos), mediante un nuevo icono.
- Se resalta al propietario de los grupos en la ventana de miembros del grupo.
- En entornos corporativos, el administrador también puede reasignar al propietario de un grupo, por ejemplo, ante la ausencia del propietario actual (por accidente o indisponibilidad, haber dejado la organización, etc.), maximizando la disponibilidad en la compartición.
- Se dispone de un nuevo interruptor para mostrar u ocultar los metadatos de los grupos (ID y propietario). Esto es especialmente necesario en entornos corporativos cuando tiene que intervenir el administrador para transferir la propiedad del grupo por ID (con la ayuda del futuro propietario del grupo), dado que el nombre del grupo está cifrado extremo a extremo y el administrador no lo conoce.
- Los usuarios con cuenta de evaluación (disponible actualmente para todas las nuevas cuentas durante 30 días) no podían enviar y recibir e-mails de notificaciones de actividad entre ellos, complementando los indicadores visuales dentro del interfaz gráfico de GuardedBox. Los e-mails solo estaban disponibles para los usuarios Premium.
- Actualización a la versión 2.7.1 de Spring Boot.
- Actualización de la versión de múltiples librerías del front-end.
Julio 2022
- 2022/07/06: Publicada la versión 7.1.2 de GuardedBox, que incluye controles que permiten al usuario, a la hora de editar un secreto, decidir si notificar o no por e-mail al resto de usuarios (Premium) con los que se comparte (se dispone de dos botones de confirmación). Adicionalmente, se incorporan mejoras visuales para el control de usuarios que tuvieron compartido un secreto individual o de grupo, y para la gestión de licencias sin asignaciones pendientes. A nivel de entornos corporativos, es posible personalizar con mucha granularidad y flexibilidad el interfaz de usuario: textos, logos, noticias, etc., para cada despliegue; se añade la vista de gestión de la cuenta para el usuario administrador.
Junio 2022
- 2022/06/27: Publicada la versión 7.0.1 de GuardedBox, orientada principalmente a entornos corporativos, en la que se incorpora la funcionalidad de panel de administración en despliegues corporativos desde el que se pueden gestionar las cuentas de usuario del entorno. Complementariamente, se ha implementado un endpoint para integración con directorios corporativos de usuarios, por ejemplo, Active Directory, también para despliegues corporativos.
-
2022/06/20: Publicada la versión 6.2.0 de GuardedBox, que ofrece un sistema de gestión de licencias, mejoras en las notificaciones por email, nuevas mejoras de usabilidad, mejoras en el sistema de invitaciones y mejoras de diversos elementos criptográficos.
Como de costumbre, para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo mejoras de seguridad en el back-end y en el front-end.
- Se incorpora al menú "Mi cuenta - Información de mi cuenta" un nuevo campo "Licencia", que informa del tipo de licencia que está actualmente asociada a la cuenta de entre todas las disponibles para el usuario en el menú "Mi cuenta - Licencias". La licencia que GuardedBox asocia a la cuenta será siempre la mejor de entre todas las disponibles para el usuario.
- La sección "Licencias" de la vista "Mi cuenta" permite gestionar las licencias vinculadas al usuario, incluyendo:
- Una tabla de licencias, que, para cada entrada, muestra: el identificador de la licencia, el email del propietario, el email del usuario al que está actualmente asignada, el tipo de licencia, y sus fechas de asignación y expiración.
- La posibilidad de asignar las licencias no asignadas actualmente, y reasignar y deasignar una licencia otorgada a un usuario concreto.
- La opción de filtrar por cualquiera de los campos de la tabla (en la modalidad de cuenta Premium).
- Introducir un código de licencia: si el código es válido (está vigente en la fecha actual), se generará una nueva licencia para el usuario, y sus datos se mostrarán en la tabla de licencias.
- Se incorpora notificaciones por email ante eventos relativos a las licencias y a actualizaciones en la modalidad de cuenta asignada a un usuario:
- Cuando el usuario recibe una nueva licencia, que además informa de la modalidad de cuenta a la que la licencia da derecho.
- Cuando se desasigna una licencia a un usuario.
- Cuando se registra una nueva cuenta, el email de confirmación incluye la modalidad de cuenta y la duración de esta modalidad.
- Se ha creado una caché con los emails a los que se ha invitado durante una sesión para evitar el envío de invitaciones repetidas a una misma dirección de correo.
- El estado del switch "Notificar a los receptores/participantes por email" se mantiene al último fijado por el usuario durante el tiempo en que dure la sesión.
- Se ha incorporado un botón "Guardar y notificar..." para que el usuario que está editando un elemento decida si quiere que su acción provoque el envío de una notificación por email a los usuarios afectados. De este modo, se puede evitar que un usuario que está realizando ediciones sucesivas genere una cantidad de mensajes molesta para los destinatarios.
- Se ha renovado el aspecto de la barra de navegación superior, que, adicionalmente, se mantiene fija.
- El color de los botones de los menús de edición de secretos va cambiando según el escenario (por ejemplo, si se detecta que ha habido un cambio, los botones de "Guardar" y "Cancelar" se resaltan).
- Se ha modificado el icono vinculado a los enlaces a secretos.
- Se ha sustituido por un popup el modal que se mostraba si, en el menú de creación de secretos, el usuario pulsaba en el botón "Guardar" sin introducir ninguna propiedad.
- El error debido a un problema de conexión con el servidor se gestiona de forma diferente a los demás y no fuerza a reiniciar sesión.
- Se ha incluido un botón para sustituir un fichero por otro, sin tener que eliminar el inicial y cargar desde cero el nuevo.
- Es posible enviar invitaciones de registro a nuevos usuarios desde la sección "Mi cuenta", sin tener que pasar por compartirles un secreto o añadirlos a un grupo.
- Se ha sustituido el generador de números aleatorios (tanto en el back-end como en el front-end) por uno de tipo DRBG .
- Las claves criptográficas se anulan al resetear la página y al cerrar la pestaña del navegador.
- Se ha activado http2.
- En la vista "Mi cuenta" se muestra la fecha de inicio de la sesión actual y la del último inicio de sesión, lo que permite detectar situaciones anómalas.
- El tiempo máximo de duración de una sesión se establece en 48 horas, independientemente de que la sesión esté generando actividad.
Mayo 2022
-
2022/05/09: Publicada la versión 5.0.0 de GuardedBox, que implementa múltiples funcionalidades destinadas a reforzar el control que los usuarios tienen de sus secretos y grupos, mejoras de rendimiento, mejoras de usabilidad y un potente mecanismo de filtrado de secretos y usuarios.
Como de costumbre, para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo actualizaciones en el back-end y en el front-end.
- Se ha creado una nueva vista "Grupos", que unifica las vistas Mis grupos y Grupos recibidos de versiones anteriores, en la cual:
- Es posible visualizar todos los grupos juntos o diferenciar entre los propios y los recibidos mediante un interruptor "Mostrar los grupos juntos".
- Se ha añadido un campo "Notas" para cada grupo, que da al propietario flexibilidad para reflejar cualquier cuestión que considere de interés, por ejemplo, el propósito del grupo, las políticas de gestión de los secretos del grupo, información de contacto del admin, o cualquier otra.
- Se ha reorganizado el menú asociado a un grupo, que queda dividido en: 1) iconos vinculados a la gestión del grupo y 2) iconos vinculados a la gestión de los secretos del grupo. Entre estos últimos, se ha incluido un botón para refrescar únicamente los secretos de ese grupo.
- Se han añadido botones para mostrar y ocultar todas las propiedades de todos los secretos del grupo.
- Se ha añadido un campo de metadatos a cada una de las propiedades de un secreto, que muestra la fecha de última modificación y el usuario que la realizó, y el tamaño en el caso de los ficheros, lo que permite identificar rápidamente qué elementos de un secreto han cambiado, incrementando el control sobre ellos y complementando el sistema de notificaciones. El usuario puede ocultar estos metadatos mediante el interruptor "Mostrar metadatos de los secretos".
- Se ha reducido sustancialmente el tiempo de recarga de los grupos, que presentaba una demora debido a la implementación del spinner de carga.
- Se ha implementado una caché con el resultado de ciertas operaciones Diffie-Hellman asociadas a los secretos de grupo, al objeto de mejorar el rendimiento de las operaciones de cifrado en la vista de "Grupos".
- Cambios en los menús de creación y edición de un secreto:
- Desaparece la primera propiedad, que no resultaba necesaria para secretos que contuvieran solo ficheros y que el usuario debía eliminar manualmente.
- El botón "Cancelar" se colorea en rojo cuando el usuario ha realizado alguna modificación sobre cualquier propiedad o el nombre del secreto.
- Se solicita al usuario confirmación al pulsar el botón "Cancelar" si se detecta que ha realizado modificaciones sobre cualquier propiedad del secreto.
- Se muestran los metadatos de todas las propiedades:"Fecha de edición", Autor y "Tamaño" (para el caso de propiedades que sean ficheros).
- Las propiedades que son ficheros presentan metadatos tanto para el propio fichero como para las notas vinculadas a él, permitiendo fácilmente diferenciar qué elemento se ha editado, de forma consistente con las notificaciones recibidas.
- Las notificaciones visuales vinculadas a elementos de tipo secreto o grupo se pueden descartar ahora individualmente (presionando sobre un determinado globo) o en conjunto (a través del globo destinado a tal efecto).
- Actualización a la versión 17.0.3 de Java.
- Actualización a la versión 2.6.6 de Spring Boot.
- Actualización a la versión 3.15.4 de Alpine.
- Actualización a la versión 17.9.0 de Node.js.
- Actualización a la versión 20.10.14 de docker.
- Corregido un bug por el cual los tooltips se mostraban en algunos dispositivos móviles al tocar en los botones y no se ocultaban.
- Se ha creado una nueva vista "Grupos", que unifica las vistas Mis grupos y Grupos recibidos de versiones anteriores, en la cual:
Abril 2022
- 2022/04/01: Publicada la versión 4.0.2 de GuardedBox, que actualiza la versión de Spring Boot (2.6.6), y como consecuencia de Spring Core (5.3.18), para evitar la(s) vulnerabilidad(es) crítica(s) que permite(n) ejecución de código remoto (RCE), conocida(s) como Spring4Shell (CVE-2022-22965).
- 2022/04/01: Publicado otro artículo en LinkedIn, "Especificaciones técnicas de GuardedBox: por qué creemos que su nivel de seguridad es excelente", con algunos detalles técnicos de GuardedBox.
- 2022/04/01: Publicado un artículo general en LinkedIn, "GuardedBox: ¡Feliz segundo aniversario!", por el segundo aniversario, con los detalles de la evolución de GuardedBox durante estos dos años.
-
2022/04/01: Segundo Aniversario de GuardedBox: GuardedBox cumple 2 años protegiendo y compartiendo secretos de forma segura y al alcance de todos.
Marzo 2022
- 2022/03/24: Publicada la versión 4.0.1 de GuardedBox, para ofrecer excepcionalmente acceso de evaluación a la funcionalidad del sistema de notificaciones y de los enlaces efímeros a todas las cuentas gratuitas existentes, y a las nuevas cuentas, durante todo el mes de abril, con el objetivo de que los usuarios puedan probar estas funcionalidades propias de las cuentas Premium.
-
2022/03/23: Publicada la versión 4.0.0 de GuardedBox, que implementa una disruptiva funcionalidad denominada "Enlaces efímeros" que permite a un usuario registrado generar un enlace a cualquiera de sus secretos individuales para compartirlo fuera de GuardedBox con personas no registradas, manteniendo el cifrado E2E y proporcionando las máximas medidas de seguridad. Los enlaces efímeros se incorporan en la modalidad de cuenta Premium, al igual que la funcionalidad asociada a la gestión de ficheros y el sistema de notificaciones. En nuestra página principal puedes consultar todas las características y funcionalidades de la modalidad Premium.
Para seguir manteniendo el máximo nivel de seguridad, se han llevado a cabo las siguientes actualizaciones en el back-end y en el front-end:
- Actualización a la versión 17.0.2+8 de Java.
- Actualización a la versión 2.6.4 de Spring Boot.
- Actualización a la versión 17.6 de Node.js.
Enlaces efímerosPermiten generar enlaces autocontenidos a cualquier secreto individual para enviarlos a los usuarios receptores por canales externos de forma que, al acceder a dichos enlaces, obtengan acceso de lectura a los valores del secreto asociado manteniendo el cifrado E2E. Los enlaces efímeros tienen como propiedades:
- Nombre/descripción(opcional): permite al creador del enlace asignarle información que considere descriptiva para la identificación del enlace. La descripción puede incluir referencias al secreto asociado, el nombre de su propietario, el del receptor, la fecha y el medio por el que se compartió, etc. Está actualmente limitado a 100 caracteres.
- Contraseña: permite proteger el acceso al enlace con una contraseña, que debería hacerse llegar al receptor por un canal diferente al utilizado para compartir el enlace.
- Duración: permite establecer un límite temporal para la disponibilidad del enlace. La duración se muestra en formato UTC, en función de la configuración del sistema propia del navegador, para que sea consistente entre usuarios ubicados en distintas zonas horarias.
- Límite de accesos: permite establecer un límite en el número de veces que se accede al enlace. El back-end de GuardedBox impedirá superar este límite.
Las ventajas de usar enlaces efímeros para compartir secretos respecto a utilizar otros canales externos con cifrado E2E son:
- Si el valor del secreto cambia, no será necesario volver a generar un enlace y enviarlo, ya que el acceso a un enlace vigente siempre proporciona el valor actual del secreto, aunque haya cambiado desde que el enlace se compartió.
- Mejora la gestión del secreto, ya que es posible crear diferentes enlaces al mismo secreto para diferentes receptores, y GuardedBox mostrará todos los enlaces existentes y sus propiedades. El campo "nombre" puede usarse para identificar el propósito del enlace, a quién se le compartió, en qué fecha, etc.
- Restringiendo al máximo la duración del enlace y el número de accesos, se evita que posibles filtraciones del enlace comprometan el valor del secreto: así, si se comparte el enlace en un correo permitiendo un único acceso, aunque por algún error ese correo llegue a nuevas manos no será posible ver el contenido del secreto, lo que sí sería posible si se hubiera compartido el secreto directamente vía e-mail.
La cuenta Estándar ofrece a todos los usuarios de manera completamente gratuita toda la funcionalidad de GuardedBox hasta la versión 2.0.3 (inclusive) y diversas mejoras de las versiones 3.x.