Seguridad

Suposiciones de confianza

CryptPad está cifrado de extremo a extremo y el servidor no tiene acceso a tus datos. Sin embargo, como ocurre con cualquier otra aplicación web, hay entidades en las que es necesario confiar para garantizar la seguridad:

• Tu instance de CryptPad escogida para

  • ejecutar el mismo código que el publicado en GitHub,

  • no bloquear los mensajes de tu red, y

  • seguir sus términos de servicio y política de privacidad.

• Que tus colaboradores no reenvíen sharing links con terceros ilegítimos.

Bajo estas suposiciones, puedes estar seguro de que técnicamente no es posible leer ni modificar tus documentos

• tu instancia elegida de CryptPad,

• cualquier adversario poderoso que pueda ver tu tráfico en la red, o

• cualquier otro usuario.

Mantenemos una list of public CryptPad instances para ayudarte a decidir mejor en quién confiar.

Advertencia

CryptPad solo cuenta con una forma débil de anonimato. Tu instancia elegida de CryptPad puede ver tu dirección IP y tu "user agent" (navegador y sistema operativo).

Si necesitas garantías de anonimato más fuertes, puedes acceder a CryptPad a través de Tor.

Contraseñas para documentos y carpetas

Usuarios registrados

Cuando compartes el enlace a un documento o carpeta compartida a través de un canal inseguro (por ejemplo, correo electrónico o SMS), alguien podría interceptar el enlace y obtener acceso a tus datos. Para evitar que esto suceda, los owners de un documento o carpeta pueden añadir una contraseña.

Cuando share documents with your contacts and teams directly on CryptPad, las comunicaciones están cifradas y asumimos que deseas darles acceso. Por lo tanto, la contraseña se guarda y se envía con el documento/carpeta cuando lo compartes. Al destinatario, o a ti mismo, no se les pide cuando abren el documento.

Puedes agregar una contraseña a un documento cuando lo create.

También puedes añadir o cambiar la contraseña en el menú de Acceso :

• Desde el CryptDrive: Right click > Acceso.

• Desde la barra de herramientas del documento: Acceso.

Verificando contactos

Usuarios registrados

Para verificar la identidad de un contacto asegúrate de que pertenece a la persona que crees, puedes comparar las claves públicas de firma:

1. Pídele a tu contacto que comparta their public key contigo a través de un canal seguro.

2. Si esta clave pública coincide con la de la profile page de tu contacto, puedes estar seguro de que el contacto pertenece a la persona al otro lado del canal seguro.

Documentos autodestructivos

Usuarios registrados

Los documentos autodestructivos se destruirán automáticamente sin la intervención de ningún usuario. Esto asegura que los datos sensibles no sean accesibles para siempre.

Existen dos formas de crear documentos autodestructivos:

• Puedes establecer un tiempo de expiración durante la creating.

• Puedes compartir un documento mediante un view-once-and-self-destruct link.

Desconexión remota

Usuarios registrados

En algunos casos (pérdida o robo de un dispositivo, olvido de cerrar sesión en un equipo compartido, etc.) puede ser necesario cerrar todas las sesiones activas de CryptPad. Esto se puede hacer de dos formas:

• Menú del usuario (Avatar en la parte superior derecha) > Ajustes > Confidencialidad > CERRAR.

Esta opción cierra todas las sesiones excepto la que está activa al momento de usarla.

• Menú del usuario (Avatar en la parte superior derecha) > Cerrar sesión en todas partes.

Esta opción cierra todas las sesiones incluyendo aquella desde la cual se activa.

Contenido remoto

En los editores Markdown (Código / Markdown, Diapositivas, Kanban), CryptPad bloquea las imágenes y otros contenidos alojados remotamente para evitar posibles rastreos.

Usuarios registrados

Para incluir imágenes desde CryptDrive o cargar nuevas, utiliza el menú Insertar . Este menú inserta un elemento media-tag que es más complejo que la sintaxis de imagen en Markdown pero se gestiona automáticamente.

Problemas conocidos

Los nombres de usuarios pueden repetirse

Ni el account name ni el display name son únicos en CryptPad. Esto significa que no puedes confiar en los nombres de usuario para identificar a las personas. En su lugar, identify your contact por medio de las llaves públicas.

Permisos de edición en equipos

Los miembros del equipo con acceso de edición a una unidad de equipos pueden compartir este acceso con otros usuarios, tanto dentro como fuera del equipo. Los miembros del equipo incluso pueden convertir carpetas en shared folders y delegar su acceso a cualquier persona que deseen.

Por lo tanto, debes tener cuidado a quién le otorgas derechos de edición. También es posible que quieras

• establecer el role de un miembro como observador y compartir selectivamente los derechos de edición con esta persona.

• usa access lists para limitar el acceso de contactos específicos a un archivo.

Acceso de ex miembros del equipo

La comunicación del equipo está encriptada con claves estáticas. Esto implica que un ex miembro del equipo podría seguir teniendo acceso a las claves. Por lo tanto, un ex miembro del equipo podría potencialmente desencriptar los mensajes del equipo y mantener el mismo acceso a los documentos del equipo que tenía antes. Sin embargo, para lograr esto, necesitaría modificar el código fuente del cliente, ya que el programa oficial no almacena las claves ni desencripta mensajes de equipos a los que el usuario no pertenece.