close

Proteger su información es lo que más nos preocupa

Keeper utiliza un sistema de seguridad de primera categoría para proteger su información y reducir el riesgo de sufrir una brecha de seguridad de datos.

La seguridad líder del sector de Keeper

Contraseña maestra privada

SOLO el usuario conoce y tiene acceso a su contraseña maestra y la clave que se usa para cifrar y quitar el cifrado de su información.

Cifrado de nivel profundo

Los datos del usuario se codifican y decodifican en los dispositivos y no en los servidores de Keeper ni en la nube.

Cifrado más potente

Keeper protege su información con cifrado AES de 256 bits y PBKDF2, ampliamente reconocido como el cifrado más potente que existe.

Autenticación con múltiples factores

Keeper es compatible con la autenticación de varios factores, el inicio de sesión biométrico y Keeper DNA, que usa dispositivos personales como un smartwatch para confirmar su identidad.

Bóveda en la nube segura y fiable

Keeper utiliza Amazon AWS en varias ubicaciones geográficas para el alojamiento y funcionamiento de los almacenes y la arquitectura de Keeper, para así proporcionar a los clientes el almacenamiento en la nube más rápido y seguro. Los datos en reposo y en tránsito están completamente aislados en el centro de datos global preferido del cliente.

Resumen

A Keeper Security, Inc. (KSI) le apasiona proteger la información de sus clientes con el software de seguridad de Keeper para móviles y computadoras. Millones de clientes y empresas confían en Keeper para proteger y acceder a sus contraseñas e información privada.

El software de Keeper es mejorado constantemente para proveer a nuestros cientes con lo último en tecnología y seguridad. Ésta página le muestra un resumen de la arquitectura de la seguridad de Keeper, las metodologías de encriptación y el ambiente de alojamiento en base a nuestra versión corriente. Un resumen de los detalles técnicos estan descritos en este documento.

Nuestra Política de Privacidad y los Términos de Uso están disponibles en nuestro sitio web por medio de estos enlaces:

Protección de Datos

KSI no tiene acceso a la contraseña maestra de los usuarios ni tampoco tiene acceso a los registros almacenados dentro de la bóveda. KSI no puede obtener acceso al dispositivo de un cliente de manera remota ni tampoco puede descifrar la bóveda del cliente. La única información a la cual Keeper Security tiene acceso es a la dirección de email del usuario, tipo de dispositivo y los detalles de suscripción (e.j. Keeper Unlimited). Si el dispositivo de un usuario se pierde o es robado, KSI puede asistirle en recuperar un archivo encriptado de respaldo para restaurar la bóveda del usuario una vez que hayan reemplazado su dispositivo.

La información que es almacenada y accedida dentro de Keeper está disponible solamente para el usuario ya que es encriptada o descifrada instántaneamente en el dispositivo que se está utilizando – aún cuando se utiliza la Aplicación Web de Keeper. El método de encriptación que Keeper utiliza es muy conocido, y utiliza el algoritmo altamente confiable llamado AES (Advanced Encryption Standard por sus siglas en inglés) con una clave de longitud de 256-bit. Según la publicación CNSSP-15 del Committee on National Security Systems, AES con una clave de longitud de 256-bit es suficientemente segura para encriptar datos confidenciales inclusive aquellos marcados como 'TOP SECRET' en la clasificación del Gobierno de los EEUU.

Las claves de la cifra utilizada para encriptar y descrifrar los registros del usuario no son almacenadas ni transmitidas a la Keeper's Cloud Security Vault. Sin embargo, para poder proveer la habilidad de sincronizar dispositivos múltiples, una versión encriptada de la clave de cifra es almacenada en la Cloud Security Vault y proveída a los dispositivos de la cuenta del usuario. Ésta clave encriptada solamente puede ser descifrada en el dispositivo para su uso subsiguiente.

Protección de Datos

Contraseña Maestra Fuerte

Es sumamente recomendable que los usuarios elijan una Contraseña Maestra fuerte para su cuenta

Autenticación de Dos Factores

Para proteger contra acceso no autorizado a la cuenta del cliente, Keeper también ofrece autenticación de dos factores. Autenticación de dos factores es un enfoque de autenticación que requiere dos o más de los factores de autenticación de tres: un factor de conocimiento, un factor de posesión y un factor de injerencia. Para obtener más información sobre autenticación de dos factores ver este enlace.

Keeper utiliza algo que sabes (tu contraseña) y algo que tienes (el teléfono en su posesión) para proporcionar a los usuarios más seguridad en el caso de que la contraseña maestra o dispositivo estén en peligro. Para hacer esto, generamos TOTPs(Basado en tiempo contraseñas de una sola vez ).

Keeper genera una clave secreta de 10 bytes usando un generador de números aleatorios criptográficamente seguro. Este código es válido por un minuto y es enviado al usuario por SMS, Google Authenticator o Keeper DNA compatible con dispositivos portátiles..

Cuando se utiliza la aplicación Google Authenticator en su dispositivo móvil, el servidor de keeper internamente genera un código QR que contiene su clave secreta, y no se comunica a un tercero.. Cada vez que un usuario desactiva y reactiva la autenticación de dos factores, se genera una nueva clave secreta.

Para activar la autenticación de dos factores, visite la pantalla de configuración de la Aplicación Web de Keeper.

Llaves de seguridad FIDO (U2F)

Keeper admite dispositivos de llave de seguridad basados en hardware U2F compatibles con FIDO, como por ejemplo YubiKey, como segundo factor. Las llaves de seguridad ofrecen una forma cómoda y segura de realizar una autenticación de dos factores sin necesidad de que el usuario introduzca códigos de 6 dígitos de forma manual. Se pueden configurar varias llaves de seguridad para el almacén de un usuario. En el caso de las plataformas que no admiten dispositivos de llave de seguridad, los usuarios pueden recurrir a otros métodos de 2FA configurados. Para configurar una llave de seguridad y otros métodos de autenticación de dos factores, visite la pantalla "Ajustes" de la aplicación de Keeper.

Acceso de emergencia (legado digital)

Keeper le ofrece la posibilidad de añadir hasta 5 contactos de emergencia para conceder acceso al almacén en caso de emergencia o fallecimiento. Una vez que haya transcurrido el tiempo de espera especificado, el contacto de emergencia podrá acceder al almacén del usuario. El proceso de compartir un almacén es de conocimiento cero y la contraseña principal del usuario no se comparte nunca directamente. Se utiliza cifrado RSA para compartir una clave AES de 256 bits con el contacto de emergencia en el momento en el que transcurre el tiempo de espera establecido por el usuario de origen. Por lo tanto, el contacto de emergencia debe tener una cuenta de Keeper (y un par de claves RSA pública/privada) para poder aceptar la invitación.

Recuperación de cuenta

Durante el proceso de registro de la cuenta, a los usuarios se les solicita que seleccionen una pregunta y una respuesta de seguridad. Durante este proceso, Keeper también genera una clave de datos que se usa para cifrar y descifrar las claves de registro que se almacenan con cada uno de los registros del almacén. La clave de datos del usuario se cifra con la contraseña principal y cada clave de registro está cifrada con la clave de datos. Cada registro presente en el almacén del usuario tiene claves de registro individuales y diferentes.

La recuperación de la cuenta funciona mediante el almacenamiento de una segunda copia de la clave de datos del usuario que está cifrada con la pregunta y respuesta de seguridad seleccionadas. Para completar una recuperación del almacén, el usuario debe introducir un código de verificación recibido por correo electrónico y también el código de autenticación de dos factores (si esta opción está activada en la cuenta). Recomendamos que se cree una pregunta y respuesta de seguridad sólidas, así como que se active la función de autenticación de dos factores de Keeper en la pantalla "Ajustes". La autenticación de dos factores también se puede aplicar a los clientes de Keeper Business mediante la consola de administración de Keeper.

Encriptación del Cliente

Los datos se encriptan y descifran en el dispositivo del usuario, no en la Cloud Security Vault. A esto le llamamos "Encriptación del Cliente" porque el cliente (e.j. iPhone, dispositivos Android, Aplicación Web, etc) está haciendo todo el trabajo de la encriptación. La Cloud Security Vault almacena un binario que es esencialmente inútil para un intruso. Incluso si se toman los datos cuando son transmitidos entre el dispositivo del cliente y la Cloud Security Vault, no se puede descifrar o utilizar para atacar o comprometer los datos privados del usuario.
Romper o hackear una clave de 256-bits simétrica requeriría 2128 veces la potencia de cálculo de una clave de 128 bits. En teoría, esto tomaría 3×1051 años para agotar el espacio de la clave de 256-bit.

Encriptación del Cliente

Compartir

Cada usuario tiene un par de claves RSA de 2048-bit el cual es utilizado al compartir. Los registros compartidos de la bóveda son encriptados con la clave pública del receptor. El receptor descrifra el registro con su clave privada. Esto le permite a un usuario compartir registros solamente con el receptor deseado, ya que solamente el receptor puede descifrarla.

Generación de Clave

Keeper utiliza PBKDF2 con HMAC-SHA256 para convertir la Contraseña Maestra del usuario a una clave de encriptación de 256-bit con un mínimo de 1,000 rondas. La clave generada de la Contraseña Maestra no es utilizada directamente para encriptar los datos del usuario, más bien es utilizada para encriptar otra clave (la "Clave de Datos"). La Clave de Datos es utilizada para encriptar datos y otras claves, tales como la clave privada RSA.

Cualquier clave que no es generada directamente de la Contraseña Maestra del usuario, es generada por un generador criptográficamente seguro y aleatorio en el dispositivo del usuario. Por ejemplo, ambas claves de datos y de RSA son generadas en el dispositivo. Ya que las claves son generadas en el dispositivo (no en la Keeper's Cloud Security Vault), Keeper no tiene visibilidad de las claves del usuario.

Almacenamiento de Clave

Todas las claves secretas que deben ser almacenadas (tal como la clave privada RSA y la Clave de Datos de cada usuario), son encriptadas previo a ser almacenadas o transmitidas. La Contraseña Maestra del usuario es requerida para descifrar cualquier clave. Ya que Keeper's Cloud Security Vault NO tiene acceso a la Contraseña Maestra del usuario, nosotros no podemos descifrar ninguna de sus claves o datos.

Almacén de seguridad en la nube de Keeper

Cloud Security Vault se refiere al software propiedad de KSI, asi como la arquitectura de la red que se encuentra físicamente alojada dentro de la infraestructura de Amazon Web Services (AWS).
Cuando el usuario sincroniza sus registros de Keeper con otros dispositivos en su cuenta, los datos binarios encriptados son enviados por medio de un túnel encriptado en SSL y luego almacenados en Keeper's Cloud Security Vault en formato encriptado.

Control de versiones de los registros

Keeper mantiene un historial de versiones completamente cifrado de todos los registros guardados en el almacén del usuario, para de este modo proporcionar la seguridad de que nunca se pierdan datos vitales. Desde la aplicación de cliente de Keeper, los usuarios pueden examinar el historial de los registros y restaurar cualquier registro individual del almacén. Si se cambia o elimina una contraseña o un archivo almacenado en Keeper, los usuarios siempre cuentan con la posibilidad de realizar una restauración a un momento en concreto.

Keeper Business

Los clientes que adquieren Keeper para empresas disponen de una capa de control adicional sobre sus usuarios y dispositivos. Los administradores de Keeper tienen acceso a una consola administrativa basada en la nube que permite un control total sobre los procesos de alta y cese de cuentas de usuarios, permisos basados en roles, administración delegada, equipos, integración en Active Directory/LDAP, autenticación de dos factores, inicio de sesión único y políticas de cumplimiento de seguridad. Las políticas de cumplimiento basadas en roles de Keeper son totalmente personalizables y escalables para organizaciones de cualquier tamaño.

Keeper Business

Roles, equipos, carpetas compartidas y administrador delegado

Keeper para empresas proporciona un conjunto de controles seguro y sólido sobre las unidades, los roles, los equipos y las carpetas compartidas de la organización. Los potentes controles back-end de Keeper ofrecen las capas de seguridad más sólidas que permiten un acceso con privilegios mínimos y una administración completamente delegada.

En la capa de cifrado, cada registro (p. ej. contraseña o credencial) que se almacena en la plataforma de Keeper cuenta con un identificador de registro exclusivo (UID de registro). Cada registro se cifra con una clave de registro. Las carpetas compartidas tienen una clave de carpeta compartida, cada equipo tiene una clave de equipo y cada usuario tiene una clave de usuario. Cada rol para el que se necesita la transferabilidad de la cuenta del usuario tiene una clave de cumplimiento de rol. Los datos en reposo en el dispositivo del usuario se cifran con la clave del usuario. La clave del usuario se cifra con la contraseña maestra del usuario.

Los registros se agregan a una carpeta compartida mediante el cifrado de la clave de registro con la clave de la carpeta compartida. Los registros se comparten directamente con un usuario mediante el cifrado de la clave de registro con la clave de usuario. Los usuarios se agregan a una carpeta compartida mediante el cifrado de la clave de carpeta compartida con la clave del usuario. Los equipos se agregan a una carpeta compartida mediante el cifrado de la clave de carpeta compartida con la clave de equipo. Los usuarios se agregan a un equipo mediante el cifrado de la clave de equipo con la clave del usuario.

Para los roles que exigen la transferabilidad de la cuenta de un usuario:

La clave de cumplimiento se cifra con la clave de cada administrador al que se permite realizar la transferencia.

(Nota: puede que la transferencia de cumplimientos distintos aplicados a grupos de usuarios distintos se designe a grupos distintos de administradores.)

Las claves de carpeta de cuenta se generan (para los usuarios en un rol al que se aplique el cumplimiento) y se cifran con la clave de cumplimiento. Las claves respectivas de todos los registros y carpetas compartidas proporcionados al usuario se cifran con la clave de carpeta de la cuenta.

Para transferir una cuenta, primero se bloquea y luego se transfiere y elimina la cuenta de un usuario. De este modo se garantiza que la operación no se realice en secreto. Las claves de carpeta de la cuenta y los metadatos permiten la posibilidad de descifrar los datos del registro, pero no permiten el acceso directo. Por lo tanto, una persona solo puede usar los registros una vez que los registros se han asignado a dicha persona, y ninguna otra persona ha podido tener acceso.

Todo el cifrado se realiza en el lado del cliente y en ningún momento Keeper puede descifrar la información que se comparte o transfiere. Además, la clave de un usuario no se comparte nunca. Un usuario que se elimine de un equipo, de una carpeta compartida o de un uso compartido directo no recibirá datos nuevos del equipo, de la carpeta compartida o del registro. Por lo tanto, a pesar de que la clave se ve comprometida con esa persona, dicha clave no puede usarse para obtener acceso a los datos subyacentes.

Se pueden asignar varios privilegios administrativos diferentes a partes de un árbol jerárquico que permite que los miembros del rol con privilegios realicen operaciones en nuestra consola de administración de Keeper.

También se pueden aplicar políticas de cumplimiento del lado del servidor y del lado del cliente a roles para dictar el comportamiento del cliente para grupos de personas.

Los equipos permiten distribuir carpetas compartidas fácilmente entre grupos de usuarios.

Puente de Active Directory/LDAP de Keeper

Keeper Bridge se integra en los servidores de Active Directory y LDAP para el aprovisionamiento y la incorporación de usuarios. La comunicación de Keeper Bridge en primer lugar es autorizada por un administrador con los privilegios suficientes para gestionar el puente. Se genera una clave de transmisión que se comparte con Keeper para todas las comunicaciones subsiguientes. El uso de la clave de transmisión constituye la autorización para todas las operaciones realizadas por el puente excepto para la inicialización del puente. La clave de transmisión se puede volver a generar en cualquier momento y cambiará automáticamente cada 30 días.

La clave de transmisión es solo para la transmisión, lo que significa que una clave comprometida se puede reinicializar o revocar sin ninguna pérdida de datos o de permisos.

Keeper Bridge no puede conceder privilegios a un rol o a un usuario. Puede agregar un usuario a un rol con privilegios, siempre y cuando no se necesite ninguna clave de cumplimiento. Keeper Bridge no se puede elevar a sí mismo ni elevar a un usuario por encima de la parte del árbol que gestiona. Todas las operaciones no están disponibles para el puente; es decir, el puente puede desactivar a un usuario activo, pero no puede eliminar al usuario. El administrador será el que deberá decidir si el usuario debe eliminarse o transferirse.

Autenticación mediante inicio de sesión único (SAML 2.0)

Los clientes de Keeper para empresas pueden configurar Keeper para que la autenticación de los usuarios para acceder a su almacén de Keeper se realice mediante productos de identidad SAML 2.0 estándar. Keeper es un proveedor de servicios preconfigurado en todos los proveedores de identidades SSO más importantes, como por ejemplo Google Apps, Microsoft Azure, Okta, Ping Identity y otros. El mecanismo que Keeper utiliza para autenticar a los usuarios y permitir que accedan a su almacén en un entorno de conocimiento cero consiste en la implementación pendiente de patente denominada Keeper SSO Connect™. Keeper SSO Connect es una aplicación de software que los administradores de Keeper para empresas instalan en su propia infraestructura (ya sea local o en la nube) y que actúa como punto final de un proveedor de servicios SAML 2.0. Cuando se activa en una unidad organizativa especifica, Keeper SSO Connect gestiona todas las claves de cifrado para los usuarios finales de Keeper para empresas. Tras una autenticación satisfactoria en el proveedor de identidades de inicio de sesión único de la empresa, el usuario inicia sesión en Keeper con las claves de cifrado necesarias para descifrar su almacén. El software Keeper SSO Connect funciona en entornos Windows, Mac y Linux.

Keeper SSO Connect

A fin de mantener la seguridad de conocimiento cero y garantizar una experiencia de SSO óptima para los usuarios, Keeper SSO Connect debe estar instalado en el servidor del cliente. Los entornos Windows, Mac y Linux son totalmente compatibles con modos de funcionamiento de equilibrio de carga de alta disponibilidad (HA).

Keeper SSO Connect automáticamente genera y mantiene la contraseña principal de forma automática para cada usuario aprovisionado, que es una clave de 256 bits generada de forma aleatoria. Esta contraseña principal está cifrada con la clave de SSO. La clave de SSO está cifrada con la clave de árbol. La clave de SSO se recupera del servidor al iniciar el servicio de Keeper SSO Connect, y a continuación se descifra mediante la clave de árbol, que se almacena de manera local en el servidor para permitir el inicio automático del servicio. La comunicación entre SSO Connect y el Cloud Security Vault de Keeper está protegida con una clave de transmisión.

BreachWatch

BreachWatch contrasta constantemente los registros de Keeper con las filtraciones públicas de datos y alerta al usuario dentro del almacén. La arquitectura de conocimiento cero de BreachWatch utiliza una serie de técnicas de capas para proteger la información de nuestros clientes. En resumen:


  1. Se utilizan una función hash criptográfica segura y con clave y una anonimización para comparar contraseñas con una base de datos que contiene información de cuentas filtradas.
  2. Las contraseñas de los clientes se procesan con un módulo de seguridad de hardware (HSM, según sus siglas en inglés) y con una clave secreta no exportable antes de compararse con contraseñas filtradas o almacenadas en los servidores de BreachWatch.
  3. Los clientes de Keeper interactúan con BreachWatch utilizando identificadores de BreachWatch anonimizados que no están vinculados con otros identificadores de clientes de Keeper.
  4. BreachWatch separa los nombres de usuario y las contraseñas en servicios separados con identificadores anonimizados distintos para desvincular los nombres de usuario y los dominios de las contraseñas.
  5. Los clientes de BreachWatch nunca cargan información del dominio, solo la descargan.

BreachWatch Process

Figura 1. La ruta de los datos de contraseña en forma de hash de un cliente a través de BreachWatch. Solo las contraseñas reforzadas con un HSM y una clave no exportable se almacenan en los servidores de BreachWatch. Los clientes de BreachWatch utilizan identificadores anonimizados cuando interactúan con los servidores de BreachWatch.


Para crear un servicio seguro, Keeper divide BreachWatch en tres servicios, cada uno dedicado a comprobar los dominios, los nombres de usuario, las contraseñas y los pares de nombres de usuario y contraseñas. Las aplicaciones de cliente de Keeper contactan con cada uno de estos servicios de administración utilizando una API REST cifrada.

Escaneo del dominio

Los clientes de BreachWatch descargan una lista de los dominios que se han filtrado y realizan la comprobación de forma local.

Escaneo de nombre de usuario y contraseña

Los dispositivos de cliente se conectan a BreachWatch y cargan una lista de nombres de usuario (o contraseñas) en forma de hashes junto a un identificador aleatorio elegido por el cliente (identificadores separados para los servicios de comprobación del nombre de usuario y para los de la contraseña). Estos hashes de contraseñas se procesan cuando se cargan con HMAC utilizando un módulo de seguridad de hardware (HSM) y una clave secreta almacenada en el HSM marcado como no exportable (lo que significa que el HSM solo procesará el HMAC de forma local y la clave no se podrá extraer). Estas entradas de HMAC (nombres de usuario o contraseñas) se comparan con los conjuntos de datos filtrados que se han procesado con el mismo HMAC y con la misma clave. Si se detecta cualquier coincidencia, se informa al dispositivo de cliente. Todos los valores que no coincidan se almacenan junto al identificador anonimizado del cliente.


Cuando se añaden al sistema filtraciones nuevas de nombres de usuario y contraseñas, estas se procesan con HMAC en el HSM, se añaden al conjunto de datos de BreachWatch y se comparan con los valores de cliente almacenados. Si hay coincidencias, se pone una alerta en cola para ese identificador de cliente.


Los clientes acceden de forma periódica a BreachWatch e introducen sus identificadores de BreachWatch. Los mensajes en cola se descargan y los clientes cargan sus nombres de usuario y contraseñas nuevos o modificados que se procesarán de la misma manera.


La seguridad de los servicios de BreachWatch se basan en el sistema TOFU (Trust on First Use o Confianza en el primer uso). Esto quiere decir que los clientes deben asumir que el servidor de BreachWatch no es malicioso (es decir, que no está siendo atacado de forma activa) cuando el cliente carga sus valores hash. Una vez que estos valores se procesan con un HSM, están seguros frente a intentos de descifrado fuera de línea. En otras palabras, si un atacante roba el conjunto de datos de los valores almacenados de un cliente, no podrá descifrar esos valores fuera de línea sin la clave HMAC almacenada en el HSM.


Si se detecta una filtración de una contraseña, el dispositivo del cliente envía un hash de combinación de nombre de usuario + contraseña a los servidores de BreachWatch que después realizan la misma comparación del hash HMAC para determinar si una combinación de nombre de usuario + contraseña se ha filtrado. Si es así, los dominios relacionados con esas filtraciones se devuelven para que el dispositivo de cliente pueda determinar si coinciden el nombre de usuario, la contraseña y el dominio. Si los tres parámetros coinciden en el dispositivo de cliente, se avisa al usuario de la gravedad de la filtración.

BreachWatch Business

Cuando los clientes de empresas y negocios activan BreachWatch, los almacenes de usuario final se escanean automáticamente cada vez que el usuario inicia sesión en Keeper. Los datos de resumen de BreachWatch escaneados en el dispositivo del usuario se cifran con la clave pública de la empresa y el administrador de la empresa lo descifra cuando inicia sesión en la consola de administración de Keeper. Esta información cifrada incluye la dirección de correo electrónico, el número de registros en alto riesgo, el número de registros resueltos y el número de registros ignorados. El administrador de Keeper puede ver estadísticas resumen a nivel de usuario dentro de la interfaz de usuario de la consola de administración.

Registro e informes de eventos

Cuando se integra con el Módulo de alertas e informes avanzados, los dispositivos de usuario final de Keeper también se pueden configurar de manera opcional para que transmitan eventos detallados en tiempo real a las soluciones SIEM de terceros y a la interfaz de informes de la consola de administración de Keeper. Los datos de eventos contienen la dirección de correo electrónico, el UID del registro, la dirección IP e información del dispositivo (los eventos no incluyen datos de registros descifrados ya que Keeper es una plataforma de conocimiento cero y no puede descifrar los datos de los usuarios).


De forma predeterminada, los datos de eventos detallados de BreachWatch no se envían al Módulo de alertas e informes avanzados o a cualquier sistema de registro externo conectado. Para activar la gestión de informes a nivel de evento de los datos de BreachWatch con el Módulo de alertas e informes avanzados, debe activar la política de cumplimiento de roles de eventos en la pantalla del rol específico > Ajustes de cumplimiento > Características del almacén. Cuando esté activado, los dispositivos de cliente de usuario final comenzarán a enviar los datos de este evento. Dado que la integración con soluciones SIEM de terceros se transmite desde la administración de Keeper hasta el SIEM de destino, esta información es legible por el SIEM de destino y se puede utilizar para identificar qué registros y qué usuarios dentro de la organización tienen contraseñas de alto riesgo. Si el administrador de Keeper no desea transmitir datos de eventos a nivel de registro al Módulo de alertas e informes avanzados de Keeper, esta opción se puede dejar desactivada.

Modo sin conexión

El modo sin conexión permite que los usuarios accedan a su almacén cuando no tienen conexión para acceder a Keeper o a su proveedor de identidades SSO. Esta función está disponible en la aplicación móvil y de escritorio de Keeper y se extiende a los usuarios Business en navegadores web populares.


Esta función hace una copia del almacén en el dispositivo local del usuario. Los datos del almacén guardados sin conexión tienen un cifrado AES-GCM con una "clave de cliente" de 256 bits creada aleatoriamente y protegida por PBKDF2-HMAC-SHA512 con hasta 100 000 iteraciones y una sal criptográfica aleatoria. La sal criptográfica y las iteraciones se almacenan localmente. Cuando el usuario introduce su contraseña principal, se deriva una clave utilizando la sal criptográfica y las iteraciones, y se realiza un intento para descifrar la clave de cliente. Después, esta clave se utiliza para descifrar el caché de registros almacenado. Si la función de autodestrucción está activada en el almacén del usuario, todos los datos del almacén guardados localmente se borrarán tras 5 intentos de inicio de sesión fallidos.

Arquitectura del a Red

KSI utiliza Amazon AWS en América del Norte y Europa, para la privacidad de datos localizada y la segregación geográfica con el objeto de alojar y operar la solución y la arquitectura de Keeper. KSI utiliza Amazon AWS para alojar y operar Keeper y su arquitectura. El hecho de utilizar Amazon AWS le permite a Keeper escalar recursos sin interrupciones en base a la demanda y provee un ambiente rápido y seguro en la nube para sus clientes. KSI opera de ambas maneras: zona múltiple y región multiple para maximizar el tiempo de disponibilidad y así poder responder de manera rápida a nuestros clientes.

Arquitectura del a Red

Autenticación de Servidor

El Cloud Security Vault de Keeper está protegido por una API que autentica cada solicitud desde el dispositivo de cliente. En el dispositivo de cliente se obtiene una "clave de autenticación" de 256 bits desde la contraseña principal utilizando PBKDF2-HMAC-SHA256 y una sal criptográfica aleatoria. Se genera un "hash de autenticación" mediante un resumen criptográfico de la "clave de autenticación" utilizando SHA-256. Para iniciar sesión, el hash de autenticación se compara con un hash de autenticación almacenado en el Cloud Security Vault. Después del inicio de sesión, el dispositivo de cliente genera y usa un autentificador de sesión para las solicitudes posteriores. Este autentificador debe renovarse cada 30 minutos o tras la solicitud del servidor.

Arquitectura del a Red

Encriptación de la Capa de Transporte

KSI soporta 256-bit y 128-bit SSL para encriptar todos los datos que son transportados entre la aplicación del cliente y el almacenamiento en la nube de KSI. Este es el mismo nivel de encriptación de la confianza de millones de personas y empresas al hacer transacciones en la web que requieren seguridad, tal como banca en línea, compras en línea, comercio de acciones, acceso a información médica y tax returns.

KSI despliega certificados TLS firmados por Digicert utilizando el algoritmo SHA2, la firma más segura de algoritmos ofrecida por autoridades de certificaciones comerciales. SHA2 es significativamente más seguro que SHA1, la cual puede ser explotada debido a una debilidad matemática identificada en su algoritmo. SHA2 ayuda a protegerle de la emisión de certificados falsos los cuales pudieran ser utilizados por un atacante para hacerse pasar por un sitio web.

KSI también soporta Certificate Transparency (CT), una nueva iniciativa de Google para crear un registro de certificados firmados por las autoridades pertinentes, y que dicho registro pueda ser auditable públicamente. CT es actualmente soportado en las últimas versiones del navegador Chrome. Más información sobre Certificate Transparency puede ser encontrada aquí: http://www.certificate-transparency.org/

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Fijación de claves

Los clientes nativos de Keeper implementan la fijación de claves públicas HTTP (HPKP). HPKP es un mecanismo de seguridad que permite a los sitios web HTTPS resistir las suplantaciones por parte de atacantes que utilicen certificados fraudulentos.

Protección contra ataques XSS (secuencias de comandos en sitios cruzados)

El almacén web de Keeper aplica una política de seguridad de contenidos estricta que restringe el origen de las solicitudes salientes e impide que se ejecuten todas las secuencias de comandos, excepto las que provienen explícitamente de Keeper, incluidas las secuencias de comandos en línea y los atributos HTML de gestión de eventos, lo que reduce o elimina la mayoría de los vectores en los ataques XSS.


El acceso a los nombres de dominio de KeeperSecurity.com y KeeperSecurity.eu está restringido a HTTPS con TLS versión 1.2 y se ejecuta mediante el protocolo de Seguridad de Transporte HTTP Estricta. Esto evita un amplio abanico de analizadores de paquetes, modificación de datos y ataques de intermediarios.


En la extensión para navegador de Keeper, Keeper no le pedirá a los usuarios que inicien sesión en su almacén desde el área del marco de la página. El inicio de sesión en la extensión se produce dentro del área de la barra herramientas de la extensión del navegador. El inicio de sesión al almacén en el navegador web siempre se producirá en el dominio de KeeperSecurity.com, de KeeperSecurity.eu o desde la barra de herramientas de la extensión para navegador de Keeper, que está fuera de la página de contenido.


La extensión para navegador de Keeper en Chrome, Firefox, Edge y Opera utiliza iFrames para inyectar datos de registros en las pantallas de inicio de sesión de las páginas web para asegurar que ninguna web maliciosa ha accedido al contenido inyectado. El contenido de los registros inyectado en iFrames también está limitado a los registros del almacén guardados en el almacén del usuario, que coinciden con el dominio de la web objetivo. Keeper no ofrecerá el rellenado automático de las credenciales de inicio de sesión o contraseña a menos que el dominio de la web coincida con el campo de dominio web del registro en el almacén de Keeper.


La extensión de Internet Explorer utiliza una ventana de aplicación nativa separada para iniciar sesión y acceder a los registros. Estas ventanas separadas no están expuestas a los ataques XSS porque no son accesibles desde el navegador. Esto permite que la extensión de Internet Explorer ofrezca una ventana de inicio de sesión dentro de la página. La extensión no mostrará los registros a menos que estos coincidan con el dominio raíz de la dirección web.


Las extensiones para navegador de terceros pueden tener permisos específicos en los navegadores web y pueden acceder a la información dentro de la página. Por lo tanto, se recomienda que los administradores de Keeper eviten que los usuarios instalen extensiones para navegador de terceros no autorizadas desde la tienda de aplicaciones propia del navegador.

iOS Keychain y TouchID™

TouchID en los dispositivos iOS le permite acceder a su bóveda de Keeper con su huella dactilar. Para proveer esta característica conveniente, una versión ininteligible de su Contraseña Maestra es almacenada en su iOS Keychain. El artículo de iOS Keychain creado para esta funcionalidad no está diseñado para sincronizar al iCloud Keychain y por ende, no dejará su dispositivo iOS.

Es sumamente recomendable que utilice una Contraseña Maestra compleja y que también habilite la Autenticación de Factores Múltiples, para así proveer seguridad máxima a su bóveda encriptada de Keeper. El utilizar el Touch ID hace que sea más conveniente utilizar una Contraseña Maestra compleja en su dispositivo iOS. También es recomendable que usted establezca un código más largo que el mínimo de 4 dígitos para proteger su iOS Keychain.

El iOs Keychain es utilizado por iOS y aplicaciones para almacenar y proteger sus credenciales. Las aplicaciones de iOS utilizan iOS Keychain para almacenar una variedad de información sensible, incluyendo contraseñas de sitios web, claves, números de tarjetas de crédito e información de Apple Pay™. Keeper no utiliza iOS Keychain para almacenar sus registros de Keeper - todos los registros de Keeper son protegidos con encriptación 256-bit AES y estan almacenados de manera segura en la Bóveda de Keeper. El iOS Keychain también está encriptado con 256-bit AES utilizando el código de acceso del dispositivo. Aún si el dispositivo se pierda o es robado, o un atacante obtiene acceso físico al dispositivo móvil, ellos no podrán acceder la información de Keeper. El iOS Keychain no podrá ser desencriptado sin el código de acceso y la Bóveda de Keeper no puede ser desencriptada sin la Contraseña Maestra del usuario.

Apple Watch®

La función de favoritos para Apple Watch permite la visualización de determinados registros en un Apple Watch que se haya emparejado. Los registros de Keeper se deben activar de forma explícita para permitir su visualización en un Apple Watch. Un Apple Watch que se haya emparejado se comunica con la extensión de Keeper para Apple Watch que se ejecuta de forma transparente en un espacio aislado e independiente de la aplicación de Keeper para iOS. La extensión de Keeper para Apple Watch también usa el llavero de iOS para almacenar y acceder a las claves de forma segura y para permitir una comunicación óptima y segura con la aplicación de Keeper para iOS.

Keeper DNA®

Keeper DNA es una adición innovadora a la autenticación de factores múltiples. Cuando es utilizado con un Apple Watch emparejado, Keeper DNA provee un método de autenticación de factores múltiples imcomparable en cuanto a conveniencia y seguridad. Keeper DNA utiliza tokens seguras almacenadas en la Bóveda de Keeper para generar códigos basados en tiempo para la autenticación de factores múltiples. Estas solicitudes de autenticación basadas en tiempo pueden ser aprobadas y enviadas automáticamente desde el Apple Watch con un solo toque en la pantalla del reloj o pueden ser ingresadas manualmente por el usuario. Las distintas capas de encriptación, el TouchID y la autenticación de factores múltiples ayudan a que Keeper DNA sea el método de autenticación más elegante, seguro y avanzado.

Cumplimiento y auditorías

Cumple con las Normas de SOC 2

Los registros de la bóveda de nuestros clientes son protegidos utilizando prácticas internas de monitoreo muy estrictas. Keeper está certificado por cumplir con las normas de SOC 2 Type 2 de acuerdo con la infraestructura de AICPA Service Organization Control. La certificación de SOC 2 ayuda a garantizar que su bóveda está segura por medio de la implementación de controles estandarizados que son definidos en la infraestructura de AICPA Trust Service Principles.

Certificado ISO 27001 (Sistema de Gestión de la Seguridad de la Información)

Keeper tiene el certificado ISO 27001, el cual cubre el Sistema de Gestión de la Información de Keeper Security que respalda la plataforma de Keeper Enterprise. El certificado ISO 27001 de Keeper se extiende a la gestión y el funcionamiento del almacén digital y de los servicios en la nube, al desarrollo de programas y aplicaciones y a la protección de los activos digitales para el almacén digital y los servicios en la nube.

Cumplimiento del RGPD

Keeper cumple los requisitos del RGPD y nos comprometemos a garantizar que nuestros procesos empresariales y productos sigan cumpliendo los requisitos para nuestros clientes en la Unión Europea. Haga clic aquí para obtener más información sobre el cumplimiento del RGPD por parte de Keeper y descargar los acuerdos de procesamiento de datos.

Protección de los datos médicos del paciente

El software de Keeper cumple con los estándares globales de protección de datos médicos que cubren, por ejemplo, la Ley de Portabilidad y Contabilidad de los Seguros de Salud (HIPAA) y la Ley de Protección de Datos (DPA).

Pruebas de penetración

En Keeper realizamos pruebas de penetración de forma periódica en todos nuestros productos y sistemas con expertos de terceras partes incluidos Secarma, Rhino Security e investigadores de seguridad independientes. También hemos colaborado con Bugcrowd para gestionar el programa de divulgación de vulnerabilidades (VDP por sus siglas en inglés).

Pruebas de penetración y escaneo de seguridad de terceros

KSI es evaluado diariamente por McAfee Secure para asegurar que la aplicación web de Keeper y la Cloud Security Vault de KSI están libres de ataques remotos, vulnerabilidades y ataques de denegación de servicio. El emblema de McAfee Secure puede ser encontrado en el sitio de Keeper para verificar la evaluación diaria del sitio web de Keeper, la aplicación Web y la Cloud Security Vault.

Un análisis externo y comprensivo es llevado a cabo cada mes por McAfee Secure se escanea el sitio web de Keeper, la aplicación Web y la Cloud Security Vault. Asimismo, el personal de Keeper inicia análisis externos por demanda, por medio de McAfee Secure.

Procesamiento de Pago y Cumplimiento del Estándar PCI

KSI utiliza PayPal Payments Pro para procesar pagos de tarjeta de crédito y débito de manera segura, por medio del sitio web de KSI. PayPal Payments Pro cumple con los requisitos de PCI-DSS para procesar transacciones.

KSI también cumple con los requisitos de PCI-DSS por medio de McAfee Secure.

EU-US Privacy Shield

El client web de Keeper, la Aplicación Android, la Aplicación de Windows Phone, la Aplicación de iPhone/iPad y las extensiones para navegador han sido verificadas que cumplen con los requisitos del Departamento de Comercio de EEUU y el programa de UE-EEUU Privacy Shield, el cual sigue la Directriz de la Comisión Europea en cuanto a la Protección de Datos.
Para más información sobre el Departamento de Comercio de EEUU y el programa de UE-EEUU Privacy Shield, vea https://www.privacyshield.gov

Licencia de Exportación del Departamento de Comercio de EEUU bajo la Regulación Administrativa de Exportación (EAR por sus siglas en inglés)

Keeper está certificado por el Buró de Industria y Seguridad del Departamento de Comercio de EEUU bajo el Número de Clasificación 5D992 del Producto de Exportación, el cual cumple con la Regulación Administrativa de Exportación (EAR por sus siglas en inglés).
Para más información sobre la Regulación Administrativa de Exportación (EAR por sus siglas en inglés): http://www.bis.doc.gov

Monitoreo Remoto 24x7

Keeper es monitoreado 24x7x365 por una red externa global que asegura que nuestro sitio web y Cloud Security Vault esten disponibles alrededor del mundo.

Si usted tiene alguna pregunta relacionada a nuestra divulgación de seguridad, por favor escríbanos

Mensajes Falsificados o de Phishing

Si usted recibe un mensaje que dice ser de KSI pero usted tiene duda de su legitimidad, es posible que sea un "email de phishing", en el cual la dirección de email del remitente es falsificada. En ese caso, el mensaje puede que contenga enlaces a un sitio web que se asemeja a KeeperSecurity.com pero no es nuestro sitio. Es posible que el sitio le pida su contraseña maestra o que le pida descargar software malicioso en su computadora para así robar su información personal o acceder a su computadora. Otros mensajes contienen enlaces que posiblemente le dirijan a otros sitios maliciosos. También es posible que el mensaje contenga "malware". Si tiene dudas sobre un mensaje que recibió en su correo, usted debe eliminarlo sin abrir ningún enlace o archivo adjunto.

Si desea reportar un mensaje que dice ser de KSI o si tiene alguna otra preocupación en cuanto a la seguridad de KSI, por favor contáctenos.

Infraestructura de alojamiento certificada de acuerdo con los estándares más estrictos del sector

El sitio web de Keeper y el almacenamiento en la nube corre por medio de la infraestructura de Amazon Web Services (AWS). La infraestructura de nube de AWS que aloja la arquitectura del sistema de Keeper ha sido certificada para cumplir con las siguientes atestaciones, reportes y certificaciones externas:

  • SOC 1 / SSAE 16 / ISAE 3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

Notificación de vulnerabilidades y programa de localización de errores

Keeper Security se ha comprometido a respetar las prácticas recomendadas del sector en materia de divulgación responsable de posibles problemas de seguridad. Nos tomamos su seguridad y privacidad muy en serio y nos comprometemos a proteger la privacidad y la información personal de nuestros clientes. La misión de KSI consiste en crear las aplicaciones de seguridad más seguras e innovadoras del mundo, y creemos que los informes de errores procedentes de la comunidad mundial de investigadores de seguridad constituyen un componente valioso para garantizar la seguridad de los productos y servicios de KSI.


Preservar la seguridad de nuestros usuarios es fundamental para nuestros valores como organización. Valoramos la contribución de los hackers de buena fe y creemos que una relación continuada con la comunidad de hackers nos ayuda a garantizar su seguridad y privacidad, y hace que Internet sea un lugar más seguro. Esto incluye fomentar las iniciativas destinadas a poner a prueba la seguridad de forma responsable y la divulgación de las vulnerabilidades de seguridad.

Directrices

En la política de divulgación de vulnerabilidades de Keeper se estipulan las expectativas a la hora de colaborar con hackers de buena fe, así como también lo que puede esperar de nosotros.

Si las pruebas de seguridad y los informes se llevan a cabo siguiendo las directrices de esta política, nosotros:

  • Los consideraremos como actividades autorizadas de acuerdo con la Ley de Fraude y Abuso Informático.
  • Los consideraremos como actividades exentas de DMCA, y no presentaremos ninguna reclamación contra usted por eludir los controles tecnológicos o de seguridad.
  • Los consideraremos como actividades legales, y no emprenderemos ni apoyaremos ninguna acción legal relacionada con este programa en su contra.
  • Colaboraremos con usted para comprender y resolver el problema rápidamente.
  • Reconoceremos sus contribuciones de forma pública si usted es el primero en notificar el problema y realizaremos un cambio en el código o en la configuración basado en el problema.

Si en cualquier momento siente preocupación o incertidumbre acerca de la realización de pruebas de una forma que sea coherente con las directrices y el alcance de esta política, póngase en contacto con nosotros en security@keepersecurity.com antes de continuar.

Para fomentar las pruebas de seguridad de buena fe y la divulgación de las vulnerabilidades detectadas, le pedimos que:

  • No infrinja la privacidad, perjudique la experiencia de usuario, interrumpa el funcionamiento de sistemas de producción o corporativos, ni destruya datos.
  • Realice investigaciones únicamente dentro del alcance que se estipula a continuación, y que respete los sistemas y actividades que estén fuera de dicho alcance.
  • Se ponga en contacto con nosotros de inmediato en security@keepersecurity.com si descubre datos de usuario durante las pruebas.
  • Nos proporcione un tiempo razonable para analizar, confirmar y resolver el problema notificado antes de revelar públicamente cualquier vulnerabilidad encontrada.

Envío de un informe

Keeper se ha asociado con Bugcrowd para gestionar nuestro programa de divulgación de vulnerabilidades. Le rogamos que envíe los informes a través de [https://bugcrowd.com/keepersecurity].