Arquitectura de seguridad

Una visión general del diseño de servidores solo con RAM de SecurQbit, el ciclo de vida del túnel, el manejo de claves y el modelo de amenazas: contra qué protege la VPN y contra qué no.

Esta página describe cómo está construido SecurQbit para ser privado y resistente: infraestructura de servidores volátil, el ciclo de vida de un túnel, cómo se manejan las claves y un modelo de amenazas honesto sobre lo que una VPN puede y no puede hacer.

Arquitectura de servidores

SecurQbit opera una red global de servidores con almacenamiento volátil, solo en RAM.

  • Sin persistencia en disco. El sistema se carga en memoria; nada de tu sesión se escribe en un disco. Un reinicio o un apagado lo borra todo. Consulta Sin registros y privacidad.
  • Sin registros de actividad. No hay historial almacenado que filtrar, incautar o requerir judicialmente.
  • Estado de sesión efímero. Las tablas de enrutamiento y las claves de sesión viven solo en memoria durante la conexión y se destruyen cuando esta termina.
  • Huella de confianza mínima. Un servidor comprometido o confiscado no proporciona ninguna actividad pasada, porque no se retuvo ninguna.

Ciclo de vida del túnel

  1. Establecer. El cliente realiza un intercambio de claves con secreto hacia adelante y levanta un túnel cifrado con AEAD. Consulta Cifrado y protocolos.
  2. Ofuscar. El túnel se envuelve para que parezca HTTPS ordinario, de modo que la DPI no pueda identificarlo. Consulta Evasión de cortafuegos y ofuscación.
  3. Operar. El tráfico se cifra, se autentica por paquete y se enruta.
  4. Adaptar. Ante cambios de red, el cliente regenera las claves y restablece el túnel antes de reanudar el tráfico.
  5. Desmontar. Al desconectarse, las claves efímeras y el estado de sesión se descartan en ambos extremos.

Manejo de claves

  • Las claves efímeras se generan por sesión y nunca se reutilizan.
  • El secreto hacia adelante garantiza que las sesiones pasadas no puedan descifrarse incluso si una clave futura queda expuesta.
  • Sin custodia de claves. SecurQbit no conserva las claves de sesión después del desmontaje, y con servidores solo de RAM, no hay ningún sitio donde puedan persistir.
  • La identidad del servidor se autentica durante el protocolo de enlace para evitar ataques de intermediario.

Modelo de amenazas

Una VPN es una capa de defensa, no un manto mágico. Tener claro el alcance es parte de una buena seguridad.

Contra qué protege SecurQbit

  • Espionaje de la red local — tu ISP, un hotel, un aeropuerto o cualquiera en la misma Wi-Fi no pueden leer tu tráfico ni ver qué sitios visitas.
  • Bloqueo de VPN basado en DPI — la ofuscación derrota la inspección profunda de paquetes que limita o bloquea las VPN ordinarias.
  • Exposición de la IP — los destinos ven la IP del servidor, no la tuya.
  • Divulgación retroactiva — la ausencia de registros y los servidores solo de RAM significan que no hay nada que entregar a posteriori.

Contra qué no protege

  • Compromiso del dispositivo. El malware, un registrador de pulsaciones o una aplicación hostil en tu propio dispositivo ven tu actividad antes de que esta entre en el túnel.
  • Identificación a nivel de cuenta. Si inicias sesión en un servicio, ese servicio sabe que eres tú, independientemente de la VPN.
  • Huella digital del navegador y del dispositivo. Los rastreadores aún pueden identificar tu navegador; combina SecurQbit con una configuración del navegador respetuosa con la privacidad.
  • Phishing e ingeniería social. Una VPN no puede impedir que introduzcas credenciales en un sitio falso.
  • Exclusiones mal configuradas. Las aplicaciones que excluyas mediante el túnel dividido no están protegidas.

Nota: La privacidad sólida se construye por capas. Usa SecurQbit junto con una buena higiene del dispositivo, prácticas cuidadosas con las cuentas y un navegador consciente de la privacidad.

Lecturas adicionales