Seguridad del producto 
La mayoría de los gestores de contraseñas del mercado solo requieren la contraseña maestra del usuario para acceder a la bóveda de contraseñas. Si la contraseña
El modelo de cifrado zero-trust y zero-knowledge de Keeper Security garantiza que, incluso en el peor de los casos, todo el contenido de su cofre de Keeper esté protegido con varias capas de seguridad y cifrado. Keeper ha mantenido su compromiso de proteger sus datos más valiosos durante más de una década, a través de nuestro modelo de seguridad de primer nivel y un enfoque transparente para compartirlos con el público.
Existen numerosos factores diferenciadores entre la forma en la que Keeper protege la información de los clientes y la de nuestros competidores. Las violaciones de datos de LastPass han puesto en duda cómo se protege la información del cofre almacenada en el caso de una violación de datos. Si bien Keeper toma amplias medidas de protección de seguridad para evitar violaciones, los clientes quieren entender nuestras protecciones en caso de que se produzca una violación. En esta página puede encontrar un documento muy detallado que describe el modelo de cifrado de Keeper. En esta publicación de blog se describirán las protecciones clave que salvaguardarían a los usuarios en caso de una violación de datos.
Encriptado de datos de cofre
Keeper se ha creado con un sistema de cifrado de varias capas basado en claves de cifrado generadas por el cliente. Las claves de nivel de registro AES de 256 bits y las claves de nivel de carpeta se generan en el dispositivo del cliente, que cifran cada registro del cofre almacenado. Todo el contenido del cofre se cifra, incluidos inicios de sesión, archivos adjuntos, códigos TOTP, información de pago, URL y campos personalizados.
Las claves de encriptado se generan localmente en el dispositivo para preservar el zero-knowledge y para admitir funciones avanzadas, como el uso compartido de registros y carpetas. Zero knowledge significa que cada usuario tiene el control total sobre el cifrado y descifrado de toda la información personal en su cofre de Keeper, y nadie más puede acceder a la información almacenada, ni siquiera los empleados de Keeper.
Las claves de registro y las de carpeta se envuelven con otra clave, la clave de datos AES de 256 bits.
En el dispositivo del usuario, se genera otra clave de cliente AES de 256 bits para cifrar una caché local sin conexión (si su administrador permite el acceso sin conexión). Por último, la clave de datos AES de 256 bits se cifra con otra clave, que se describe en la siguiente sección.
Protección de la clave de datos
Descifrar el cofre de un usuario requiere descifrar la clave de datos.
Para los usuarios que inician sesión con una contraseña maestra: la clave para descifrar y cifrar la clave de datos resulta de la contraseña maestra del usuario mediante la función de derivación de claves basadas en contraseñas (PBKDF2), con hasta 1 000 000 iteraciones de forma predeterminada. Después de que el usuario escriba la contraseña maestra, la clave se deriva localmente y luego descifra la clave de datos. Una vez descifrada la clave de datos, se utiliza para descifrar las claves de registro y las claves de carpeta individuales. La clave de registro descifra cada uno de los contenidos de los registros almacenados localmente.
Los usuarios que inician sesión con tecnología SSO o sin contraseñas: utilizan la criptografía de curva elíptica para cifrar y descifrar datos en el dispositivo. Una clave privada local ECC-256 (secp256r1) se utiliza para descifrar la clave de datos. Una vez descifrada la clave de datos, se utiliza para descifrar las claves de registro y las claves de carpeta individuales. La clave de registro descifra cada uno de los contenidos de los registros almacenados. La clave de datos cifrados se transmite entre los dispositivos del usuario a través de un sistema de envío o servicio de intercambio de claves que llamamos aprobación de dispositivos, que el cliente gestiona para preservar el cero conocimiento.
Puntos clave:
- Para los clientes que utilizan una contraseña maestra para iniciar sesión, una contraseña maestra segura y única es fundamental, junto con la aplicación de 1 000 000 iteraciones de PBKDF2. Al utilizar la consola de Administración de Keeper , los administradores de Keeper pueden aplicar fácilmente reglas de complejidad de contraseñas maestras en los usuarios finales y las iteraciones en las políticas de cumplimiento basadas en roles de Keeper.
- Para los clientes que implementan Keeper a través de un producto de inicio de sesión único (SSO), como Azure, Okta, Ping, ADFS u otro proveedor de identificación, no hay ninguna contraseña maestra por la que preocuparse, y no existe el vector de amenaza de la derivación de la clave de contraseña maestra. En este modelo, todo el cifrado de datos utiliza claves de curva elíptica. La protección de los datos con Keeper SSO Connect está totalmente documentada y patentada. Aquí puede encontrar una estupenda descripción general de la función.
- En la documentación del modelo de cifrado de Keeper se hace una descripción detallada y una prueba matemática de la solidez de los cofres cifrados con claves derivadas de contraseñas frente a claves de curva elíptica (EC, por sus siglas en inglés). Vale la pena señalar que la cadena de bloques de Bitcoin utiliza ECC-256. Esto crea una recompensa de facto de 300 000 millones de dólares sobre la fuerza de las curvas elípticas de 256 bits.
Para las empresas que buscan implementar un gestor de contraseñas seguro para los usuarios, Keeper SSO Connect ofrece el mayor nivel de protección de datos, además de una integración perfecta con la pila de identidad actual. Como no se utiliza ninguna contraseña maestra, se elimina el vector de amenaza de los ataques de fuerza bruta sobre datos almacenados.
Cifrado en tránsito
Keeper es una plataforma SaaS que aloja datos cifrados en varias regiones geográficas con Amazon Web Services (AWS). Los clientes pueden alojar a su inquilino de Keeper en su región principal preferida. Los datos de los clientes (texto cifrado almacenado) y el acceso a la plataforma se apartan de la región determinada que el cliente elija.
Todas las cargas útiles cifradas que se envían a los servidores de Keeper se protegen con una clave de transmisión AES de 256 bits, además de la seguridad de la capa de transporte (TLS, por sus siglas en inglés), para evitar los ataques de intermediario. La clave de transmisión se genera en el dispositivo del cliente y se transfiere al servidor mediante el cifrado ECIES a través de la clave pública EC del servidor.
Este cifrado de clave de transmisión ofrece una capa adicional de cifrado de 256 bits además del cifrado de datos ya incluido en la carga útil. El cifrado de la transmisión se realiza directamente desde el dispositivo del usuario a los servidores de aplicaciones en el entorno de Keeper.
Protección en la nube
Keeper ha creado un modelo avanzado de autenticación en la nube y comunicaciones de red creado para las máximas privacidad, seguridad y confianza.
Para los usuarios que inician sesión con una contraseña maestra: una segunda clave PBKDF2 se genera localmente con hasta 1 000 000 iteraciones y luego se realiza el hash con HMAC_SHA256 para derivar un token de autenticación.
Para los usuarios que inician sesión con tecnología SSO o sin contraseñas: el usuario puede autenticarse a través de su proveedor de identificación de SSO y luego descifrar el texto cifrado de su cofre localmente en su dispositivo. Cada dispositivo tiene su propio par de claves pública/privada EC (curva elíptica) y clave de datos cifrada. Para iniciar sesión en un nuevo dispositivo, el usuario debe utilizar los dispositivos existentes para realizar la aprobación o un administrador con el privilegio puede aprobar un nuevo dispositivo.
En el cofre en la nube de Keeper (alojado en AWS), almacenamos el cofre de cada usuario como texto cifrado que se ha cifrado localmente en el dispositivo del usuario. Además del cifrado de la carga útil y el cifrado de la transmisión, Keeper también supercifra las claves de datos cifrados almacenadas con módulos de seguridad de hardware en el entorno de AWS.
Certificaciones y cumplimiento
Keeper es la plataforma de seguridad de contraseñas más segura, certificada, probada y auditada del mundo. Keeper cuenta con los certificados SOC 2 e ISO 27001 más antiguos del sector. Keeper cumple con el RGPD, la CCPA, está autorizado por FedRAMP y StateRAMP, y está certificado por TrustArc en cuanto a la privacidad en línea. Keeper tiene la certificación PCI DSS.
Puntos clave:
- Keeper no almacena secretos, como las claves de acceso de la infraestructura en la nube, en su código fuente. Analizamos regularmente el código fuente en busca de información secreta.
- El código fuente de Keeper, aunque se encuentra en Github Enterprise, no proporciona la información necesaria para acceder al cofre de un usuario. El cifrado de los datos se produce en dispositivo local y gran parte de este código fuente se publica en nuestro repositorio público de Github como parte de los productos Keeper’s Commander y Secrets Manager.
- Keeper no utiliza proveedores externos, como Twilio para 2FA. Los proveedores de Keeper no han sido objeto de ninguna violación de datos.
- Keeper no proporciona a terceros la gestión ni el acceso a nuestros centros de datos de AWS. Toda la gestión de la infraestructura la realizan los empleados a tiempo completo de Keeper Security, que son ciudadanos de los Estados Unidos y se encuentran en los Estados Unidos.
- Keeper cuenta con la mayoría de las certificaciones de seguridad del sector. Keeper tiene la certificación SOC2, está autorizado por FedRamp, StateRamp y cuenta con la certificación ISO27001.
Nuestro compromiso de transparencia
Keeper no solo está comprometido con la seguridad, sino que también somos fanáticos de ella. Por eso, ponemos a disposición del público todos los detalles de nuestro modelo de cifrado. Creemos que nuestros clientes se merecen saber cada paso que damos para garantizar que sus datos estén seguros ante un panorama de seguridad cibernética en constante cambio.
El modelo de cifrado zero-trust y zero-knowledge de Keeper garantiza que, incluso en el peor de los casos su Keeper Vault esté protegido, y realizamos continuamente pruebas de seguridad para garantizar que seguimos siendo la mejor solución para proteger sus datos más valiosos.
Keeper realiza pruebas trimestrales de penetración de aplicaciones de todos nuestros productos y sistemas con probadores de penetración de terceros, incluidos NCC Group y Cybertest. Estas incluyen pruebas de penetración de estilo equipo rojo de sistemas internos y externos con acceso completo al código fuente.
Keeper también se ha asociado con Bugcrowd para gestionar su programa de divulgación de vulnerabilidades (VDP, por sus siglas en inglés) y de recompensas por la localización de errores. Puede encontrar información sobre el programa VDP de Keeper Security en https://bugcrowd.com/keepersecurity.
Para aumentar la transparencia, Keeper publica notas de la versión detalladas en todas las plataformas. Si tiene alguna pregunta, envíe un correo electrónico a security@keepersecurity.com.
