RESWARDO.
Ingresar a mi Bóveda
Whitepaper Técnico de Seguridad

Libro Blanco de Seguridad: Custodia y Legado Criptográfico

Versión: 1.4.0 (Enterprise) Fecha: Mayo de 2026 Clasificación: Pública / Criptográfica

01 / 1. Resumen Ejecutivo

Reswardo es una plataforma de custodia digital y legado criptográfico construida íntegramente bajo la filosofía de Privacidad Absoluta y Cero Conocimiento (Zero-Knowledge). El sistema ha sido diseñado para permitir a personas e instituciones custodiar activos y textos de máxima confidencialidad —tales como llaves privadas de billeteras criptográficas, contraseñas maestras, documentos de fideicomiso y archivos de alta relevancia personal o legal— garantizando que ningún miembro de nuestro equipo técnico, administrador de servidores, o entidad externa con control sobre nuestra base de datos pueda jamás acceder al contenido de los datos o a la metadata nominativa de los archivos.

Mediante el protocolo automatizado Dead Man's Switch (Interruptor de Contingencia), la plataforma monitorea la actividad del usuario titular de forma no intrusiva. En caso de detectarse inactividad persistente superior al umbral configurado por el custodio, el control y acceso de las cápsulas cifradas se delegan de forma inmutable a su heredero designado. Sin embargo, para preservar el absoluto blindaje, el heredero sólo podrá descifrar los archivos si posee la Llave Dorada Privada (Golden Key) que el propietario original le confió previamente fuera de línea.

Máxima de Diseño
"La seguridad de Reswardo no reside en la integridad moral de sus administradores, sino en la solidez y la rigidez inmutable de sus matemáticas."

02 / 2. Arquitectura de Cero-Conocimiento (Zero-Knowledge)

Para asegurar que los servidores centrales de Reswardo permanezcan ciegos al contenido, todo el procesamiento criptográfico de encriptación y desencriptación ocurre de manera local y descentralizada en el propio agente de ejecución (el navegador web) a través de la Web Crypto API nativa del sistema operativo.

A. Generación local de llaves y Cifrado Simétrico AES-256-GCM

Cuando un custodio crea una cápsula o sube un documento a su bóveda:

  1. Derivación de la Llave Maestra: El navegador genera localmente una llave simétrica aleatoria de alta entropía del tipo AES-GCM de 256 bits empleando el método criptográfico robusto window.crypto.subtle.generateKey. Esta llave nunca es compartida, transmitida ni visualizada por la API de Reswardo. Se renderiza exclusivamente en la pantalla del usuario en un formato exportable y seguro denominado la Llave Dorada (Golden Key).
  2. Vector de Inicialización (IV): Por cada operación de subida, se genera un vector de inicialización (IV) criptográficamente seguro de 12 bytes empleando window.crypto.getRandomValues, neutralizando cualquier posibilidad de ataques basados en texto plano elegido o análisis diferencial de bloques.
  3. Cifrado Simétrico y Autenticación: El binario bruto del archivo se cifra en modo Galois/Counter Mode (GCM). Este modo no solo cifra la información, sino que adjunta una etiqueta de autenticación criptográfica para verificar la integridad del archivo durante el descifrado, garantizando que el archivo no haya sido alterado ni manipulado en la base de almacenamiento fría.
ENTORNO LOCAL (CLIENTE) NUBE / SERVIDOR CIEGO Archivo Original Llave AES-256 Web Crypto AES-GCM Local Nombre Cifrado (Supabase DB) Payload Cifrado (S3 Glacier Deep) Metadatos Ciegos al Servidor

B. Blindaje de Metadatos (Filename Encryption)

Almacenar los nombres reales de los archivos (por ejemplo, "billetera-bitcoin-seed.txt" o "mi-testamento.pdf") expone al usuario a vectores de ataque basados en inferencia y perfilamiento de metadatos. En Reswardo, solucionamos esta vulnerabilidad cifrando el nombre del archivo de manera aislada antes de transmitirlo al servidor:

  • IV Independiente: Se genera un segundo IV aleatorio de 12 bytes exclusivamente para encriptar la cadena de texto del nombre. No reutilizar el IV del cuerpo del archivo previene patrones de correlación criptográfica.
  • Formato de Serialización Ciego: La cadena de caracteres encriptada se escribe en la base de datos central en formato iv_nombre_base64.ciphertext_nombre_base64.
  • Compatibilidad de Retroceso (Fallback): Para preservar archivos antiguos y prevenir pérdida de datos históricos, el frontend decodifica de forma adaptativa. Si la cadena recuperada no contiene el delimitador de inicialización (.), procesa la cadena heredada como Base64 plano sin interrumpir la experiencia.

03 / 3. Protocolo Dead Man's Switch e Inmutabilidad de la Herencia

El traspaso seguro de la custodia de la información al heredero legítimo está gobernado de forma estricta por un motor de eventos de inactividad a nivel de base de datos relacional y reglas incondicionales de control perimetral.

A. Monitoreo Silencioso y Prevención de Falsos Positivos

El perfil de cada usuario cuenta con el campo temporal last_activity_at. Para mitigar fallas de contingencia accidentales, el frontend de Reswardo actualiza la marca de actividad mediante llamadas asíncronas silenciosas cada vez que el usuario interactúa activamente con la plataforma:

  • Inicio de sesión exitoso mediante credenciales OAuth o JWT.
  • Creación, subida o eliminación de cápsulas digitales.
  • Guardado de nuevas configuraciones de contacto o herederos.
  • Eventos de pulsaciones dentro del panel de control de la bóveda.

B. Ciclo de Ejecución del Cron

Un despachador programado (Cron Job) invoca de forma regular al microservicio de control `/api/cron/deadmans-switch` enviando una clave de firma criptográfica para autenticar la petición.

$$\text{Fecha de Ejecución} = \text{last\_activity\_at} + \text{inactivity\_threshold\_months}$$
  1. Fase Preventiva (Alerta 30 días): Si el usuario ha estado inactivo y se encuentra en la ventana exacta de 30 días previos a la fecha gatillo, el backend solicita de forma segura su dirección real de correo utilizando la API administrativa de Supabase (supabase.auth.admin.getUserById) y despacha un correo preventivo a través de Resend con enlaces rápidos para reactivar la bóveda con un solo clic. El cron valida meticulosamente que este correo no sea enviado más de una vez en el ciclo diario.
  2. Activación del Traspaso: Si el umbral de tiempo es superado sin rastros de actividad, el sistema establece de forma inalterable deadman_triggered_at = NOW() y envía al heredero un correo automatizado informándole sobre su designación, junto a sus notas descifradas de traspaso.

C. Bypass Seguro de RLS (Row Level Security)

Las políticas de seguridad a nivel de fila (RLS) de Supabase prohíben estrictamente que un usuario lea registros ajenos. Para que el heredero legítimo pueda ver la lista de cápsulas delegadas sin comprometer la seguridad del resto de la base de datos, estructuramos un endpoint seguro en el servidor backend en Express que actúa como pasarela controlada:

JavaScript / Node.js reswardo-backend/index.js 
// Verificación estricta en el Endpoint de recuperación del heredero
const { data: profiles, error: profileErr } = await supabaseAdmin
  .from('profiles')
  .select('id, deadman_triggered_at')
  .eq('heir_email', heirEmail);

// El acceso solo se concede si deadman_triggered_at NO es nulo
const activeProfiles = profiles.filter(p => p.deadman_triggered_at !== null);
if (activeProfiles.length === 0) {
  return res.status(200).json({ capsules: [] }); // Retorna vacío si no se ha gatillado el interruptor
}

04 / 4. Infraestructura de Custodia AWS S3 Glacier Deep Archive

El resguardo físico de las cápsulas encriptadas no descansa sobre servidores vulnerables o bases de datos relacionales volátiles, sino sobre el esquema redundante e inmutable de Amazon Web Services (AWS) S3 Glacier Deep Archive.

A. Especificaciones de Resiliencia y Durabilidad

  • Durabilidad del 99.999999999% (11 Nueves): AWS Glacier Deep Archive distribuye de forma redundante los archivos cifrados en un mínimo de 3 centros de datos separados geográficamente dentro de la misma región. Esto garantiza la preservación inalterable del legado digital frente a catástrofes de gran escala física o fallos sistémicos de hardware durante décadas.
  • Descongelamiento Asíncrono: Para optimizar la viabilidad económica a largo plazo del Saas, los archivos en frío tienen una latencia de restauración de entre 9 y 12 horas. Reswardo implementa un monitoreo progresivo en tiempo real en la interfaz para guiar al heredero con un reloj dinámico de descarga.

B. Mitigación contra Abuso Financiero (Denial-of-Wallet)

El proceso de restauración estándar desde Glacier Deep Archive conlleva cargos financieros operativos. Un agente malicioso o bot automatizado podría desencadenar solicitudes repetitivas con el fin de asfixiar los costos de infraestructura de Reswardo.

Para repeler este ataque de Denegación de Billetera, implementamos reglas estrictas en /api/restore:

  1. Gobernanza de Plan: Restricción absoluta para cuentas en plan free (Gratuito). Únicamente las cuentas con licencias pagadas y verificadas (Premium/Legacy/Eternal) pueden emitir comandos de restauración.
  2. Bloqueo por Cooldown: Se rechaza inmediatamente cualquier intento de restauración sobre un mismo archivo si cuenta con una solicitud activa iniciada en las últimas 24 horas.
  3. Garantía de Cuota Mensual: Límite físico absoluto de un máximo de 5 solicitudes de restauración al mes por cuenta, neutralizando de raíz cualquier abuso volumétrico de recursos.

05 / 5. Postura de Seguridad y Modelo de Amenazas (Threat Model)

El ecosistema de Reswardo se blinda mediante capas defensivas activas para interceptar e invalidar intentos de intrusión perimetral, y establece un límite de confianza transparente para una evaluación técnica objetiva.

A. Modelo de Amenazas Formal (Threat Model)

Para asegurar una comprensión técnica rigurosa de las capacidades de blindaje del sistema, clasificamos formalmente las amenazas en nuestro límite de confianza:

  • Amenazas Cubiertas (Dentro del Límite de Confianza):
    • Compromiso Total del Servidor Backend: Si un atacante secuestra Railway u obtiene privilegios root de la API en Express, solo visualizará metadatos ilegibles en Supabase y no podrá alterar ni descifrar ningún archivo binario, ya que carece de las llaves doradas.
    • Fuga Completa de Base de Datos (Supabase Leak): La exposición de los registros relacionales revelará metadatos, pero los nombres y extensiones de archivos permanecerán cifrados localmente de forma inalterable.
    • Ataques Man-in-the-Middle (MITM): Bloqueados mediante transporte HSTS estricto forzando TLS 1.3 de extremo a extremo contra los clientes.
  • Amenazas Excluidas (Fuera del Límite de Confianza):
    • Malware y Keyloggers en el Host Local: Si el dispositivo terminal del usuario está infectado con software espía de captura de pantalla o keyloggers, la Golden Key puede ser exfiltrada en el instante en que el usuario la renderiza en memoria volátil o la introduce en el portapapeles.
    • Extensiones Maliciosas de Navegador: Extensiones con permisos amplios del DOM pueden auditar el comportamiento del frontend y secuestrar las variables locales de la Web Crypto API.
    • Ingeniería Social y Phishing: Sitios fraudulentos (clones visuales) diseñados para convencer al usuario de entregar voluntariamente su Golden Key.

B. Defensas Activas Perimetrales

  • Verificación Algorítmica de Webhooks (Mercado Pago): Las pasarelas de cobro no asumen la veracidad del contenido entrante. El backend procesa las confirmaciones financieras aplicando el algoritmo HMAC-SHA256 junto a la clave secreta firmada por Mercado Pago para constatar que la transacción proviene auténticamente del procesador oficial.
  • Gobernanza de Origen (CORS Restrictivo): Nuestra API bloquea peticiones de orígenes ajenos a los dominios autorizados de la empresa (reswardo.com, www.reswardo.com).
  • Inyección de Cabeceras Helmet: Se despliega la librería helmet para forzar cabeceras de protección (Strict-Transport-Security para obligar al uso de HTTPS, prevención activa de secuestro de clics / Clickjacking mediante X-Frame-Options, y exclusión de scripts no validados).
  • Limitador de Peticiones (Rate Limit): Rutas `/api` protegidas bajo express-rate-limit restringiendo un máximo de 100 peticiones en ventanas de 15 minutos por dirección IP.

06 / 6. Monitoreo de Anomalías, Backups y Divulgación (RFC 9116)

Reswardo implementa controles proactivos y políticas abiertas de resiliencia operativa para salvaguardar el ecosistema completo.

A. Monitoreo Activo de Actividades Inusuales

El motor de auditoría interna de Reswardo (audit_logs) es analizado de forma periódica por servicios heurísticos automatizados que evalúan anomalías:

  • Viajes Imposibles (Impossible Travel): Cambios geográficos repentinos en peticiones consecutivas del usuario (evaluados mediante el análisis de cabeceras GeoIP de peticiones HTTP concurrentes).
  • Picos Volumétricos de Destrucción: Intentos reiterativos de borrado físico (/api/delete) en ventanas menores a 5 segundos bloquean temporalmente la interfaz para proteger el ledger digital de borrados masivos involuntarios.

B. Plan de Recuperación de Desastres (DRP) y Resiliencia de Metadatos

Reswardo asegura no solo los archivos del cliente, sino la resiliencia operativa de sus propios metadatos críticos:

  • Backups Diarios de Base de Datos: Backups incrementales automáticos de la base de datos estructurada de Supabase (ledger de transacciones e indexaciones de S3) replicados de forma cruzada en clusters secundarios físicamente aislados.
  • Pruebas Continuas de Restauración (Restore Testing): Simulaciones regulares de recuperación en caliente de metadatos y re-indexaciones completas para garantizar tiempos de recuperación (RTO) menores a 3 horas ante colapsos globales de infraestructura principal.

C. Cumplimiento de Divulgación y Políticas (RFC 9116)

Reswardo adhiere formalmente al estándar internacional de divulgación técnica de vulnerabilidades RFC 9116:

  • Ubicación del Archivo de Seguridad: La política de divulgación se encuentra expuesta públicamente en la ruta estándar de auditoría: https://reswardo.com/.well-known/security.txt.
  • Políticas de Disclosure Responsable: Investigadores de seguridad técnica pueden reportar anomalías o posibles vulnerabilidades directamente al canal preferente auditado contacto@reswardo.com, garantizando un ciclo de resolución interna de 72 horas previas a divulgaciones públicas.

07 / 7. Roadmap de Seguridad Avanzada

A fin de trazar un camino claro hacia una infraestructura certificada ante inversores e instituciones corporativas, se establece la siguiente hoja de ruta (Roadmap) de desarrollo de seguridad avanzada:

A. Autenticación de Múltiples Factores Fuerte (MFA)

Para repeler de forma absoluta ataques basados en account takeover (ATO) y phishing, se planea la integración nativa de factores TOTP (Time-based One-time Password) como Google Authenticator o Duo mediante Supabase Auth, y la posterior implementación de hardware keys e inicios de sesión sin contraseña utilizando la especificación WebAuthn / Passkeys (YubiKey opcional).

B. Gestión Avanzada de Sesiones (Session Management)

Para impedir el uso de tokens JWT robados y dotar al custodio de visibilidad sobre sus conexiones:

  • Rotación de Refresh Tokens (RTR): Supabase Auth invalidará automáticamente cualquier refresh token antiguo al emitirse un par nuevo, previniendo replay attacks en el lado del servidor.
  • Consola de Sesiones Activas: Pantalla en el dashboard que lista IPs, localizaciones estimadas GeoIP y agentes de usuario en vivo, ofreciendo un botón único de "Cierre Global de Sesiones".

C. Hardening e Infraestructura Cloud Avanzada

Restricción absoluta de los roles IAM en AWS para que el usuario operativo de la API de S3 solo cuente con permisos estrictos de PutObject y RestoreObject filtrados por prefijos `/vaults`, impidiendo lecturas accidentales del bucket completo. Adicionalmente se migrarán variables de entorno hacia gestores dedicados como AWS Secrets Manager con rotación automatizada semanal.

D. Gobernanza de Cumplimiento (Compliance GRC)

Mapeo de controles operativos y de software contra marcos de auditoría a través de plataformas de automatización de cumplimiento orientados a obtener certificaciones SOC 2 Type I/II e ISO 27001 en la etapa Seed del SaaS, y adecuación del mecanismo del Dead Man's Switch a normativas GDPR sucesorias.

08 / 8. Gobernanza de Plan, Conciliación de Pagos y Precios

A fin de asegurar la coherencia del modelo comercial y prevenir el abuso de la infraestructura de almacenamiento ilimitada, el backend de Reswardo implementa un estricto control de planes y cuotas:

A. Estructura de Planes y Límites de Almacenamiento

El aprovisionamiento de espacio en la nube se valida en el servidor durante la generación del canal de subida:

  • Plan Free (Gratuito): Restringido a un peso máximo acumulado de 50 MB y un cupo de 1 sola cápsula activa. No permite restauraciones desde almacenamiento Glacier.
  • Plan Legacy (USD 49 — Pago Único): Habilita hasta 5 GB de resguardo cifrado localmente y descargas automáticas desde Glacier.
  • Plan Eternal (USD 149 — Pago Único): Otorga hasta 25 GB de capacidad en almacenamiento inmutable de largo plazo.

B. Pasarela de Pagos asincrónica y Webhooks (Mercado Pago)

El flujo comercial minimiza la exposición del lado del cliente y garantiza la validez de los ascensos de rango:

  1. Creación de Preferencia: El cliente invoca /api/checkout enviando el plan elegido. El backend determina el valor del plan en dólares ($49 USD o $149 USD), calcula el monto correspondiente en pesos argentinos (ARS) utilizando el tipo de cambio oficial (ARS_EXCHANGE_RATE, por defecto 1200), y despacha la preferencia a Mercado Pago.
  2. Escucha Activa de Webhooks: Ante un evento de pago en /api/webhook, el servidor valida la firma digital HMAC-SHA256 empleando la clave secreta provista por el procesador de pagos para neutralizar falsificaciones de transacciones.
  3. Conciliación de Monto: El servidor consulta el estado de la transacción directamente con Mercado Pago. Si el estado es aprobado, valida el monto abonado. Pagos correspondientes a la tarifa del Plan Legacy promueven el perfil a premium_5gb, mientras que pagos que alcancen el Plan Eternal promueven el perfil a premium_25gb.

09 / 9. Políticas Operativas de Disponibilidad y SLA

Para dotar al producto de las máximas garantías de observabilidad y estabilidad operacional, definimos los siguientes acuerdos de nivel de servicio (SLA) esperados:

  • Disponibilidad Uptime del Servicio API: Target del 99.9% de uptime mensual sostenido, respaldado bajo la infraestructura nativa de Railway y Supabase Cloud.
  • Latencia de AWS S3 Glacier Deep Archive: SLA físico de AWS de hasta 12 horas para completar la descongelación térmica de cápsulas desde Glacier. El software de Reswardo no tiene capacidad operativa para eludir o reducir esta latencia indispensable para asegurar la persistencia eterna.
  • Plan de Continuidad offline (Vault Decrypt Tool): Disponibilidad pública y mantenida de una herramienta ligera e independiente en Node.js de código abierto (en GitHub) que permite al usuario, con su Golden Key y el archivo `.enc` exportado, descifrar localmente su legado en su computadora sin requerir conexión alguna contra los servidores de Reswardo.

10 / 10. Conclusión y Garantía de Privacidad

La arquitectura de Reswardo ha sido modelada para alcanzar el estándar técnico corporativo **Enterprise-Grade**. La descentralización del procesamiento criptográfico en el cliente, sumada a la inmutabilidad relacional de la base de datos y el almacenamiento ciego de alta durabilidad en AWS, convierte al usuario en el único soberano del destino de su legado digital.

Reswardo minimiza criptográficamente la necesidad de confianza operativa mediante la separación estricta de claves y el cifrado local del lado del cliente. Aun en el escenario extremo de una vulneración completa a nuestras bases de datos relacionales o un secuestro físico de los servidores backend, los archivos custodiados y sus nombres originales seguirán siendo ilegibles y seguros, permaneciendo inaccesibles para cualquier entidad ajena al custodio o su heredero con la Llave Dorada física.