# Arquitectura de seguridad

Esta página describe cómo está construido SecurQbit para ser privado y resistente: infraestructura de servidores volátil, el ciclo de vida de un túnel, cómo se manejan las claves y un modelo de amenazas honesto sobre lo que una VPN puede y no puede hacer.

## Arquitectura de servidores

SecurQbit opera una red global de servidores con **almacenamiento volátil, solo en RAM**.

- **Sin persistencia en disco.** El sistema se carga en memoria; nada de tu sesión se escribe en un disco. Un reinicio o un apagado lo borra todo. Consulta [Sin registros y privacidad](/no-logs-privacy).
- **Sin registros de actividad.** No hay historial almacenado que filtrar, incautar o requerir judicialmente.
- **Estado de sesión efímero.** Las tablas de enrutamiento y las claves de sesión viven solo en memoria durante la conexión y se destruyen cuando esta termina.
- **Huella de confianza mínima.** Un servidor comprometido o confiscado no proporciona ninguna actividad pasada, porque no se retuvo ninguna.

## Ciclo de vida del túnel

1. **Establecer.** El cliente realiza un intercambio de claves con secreto hacia adelante y levanta un túnel cifrado con AEAD. Consulta [Cifrado y protocolos](/encryption).
2. **Ofuscar.** El túnel se envuelve para que parezca HTTPS ordinario, de modo que la DPI no pueda identificarlo. Consulta [Evasión de cortafuegos y ofuscación](/firewall-bypass).
3. **Operar.** El tráfico se cifra, se autentica por paquete y se enruta.
4. **Adaptar.** Ante cambios de red, el cliente regenera las claves y restablece el túnel antes de reanudar el tráfico.
5. **Desmontar.** Al desconectarse, las claves efímeras y el estado de sesión se descartan en ambos extremos.

## Manejo de claves

- Las **claves efímeras** se generan por sesión y nunca se reutilizan.
- El **secreto hacia adelante** garantiza que las sesiones pasadas no puedan descifrarse incluso si una clave futura queda expuesta.
- **Sin custodia de claves.** SecurQbit no conserva las claves de sesión después del desmontaje, y con servidores solo de RAM, no hay ningún sitio donde puedan persistir.
- La **identidad del servidor** se autentica durante el protocolo de enlace para evitar ataques de intermediario.

## Modelo de amenazas

Una VPN es una capa de defensa, no un manto mágico. Tener claro el alcance es parte de una buena seguridad.

### Contra qué protege SecurQbit

- **Espionaje de la red local** — tu ISP, un hotel, un aeropuerto o cualquiera en la misma Wi-Fi no pueden leer tu tráfico ni ver qué sitios visitas.
- **Bloqueo de VPN basado en DPI** — la ofuscación derrota la inspección profunda de paquetes que limita o bloquea las VPN ordinarias.
- **Exposición de la IP** — los destinos ven la IP del servidor, no la tuya.
- **Divulgación retroactiva** — la ausencia de registros y los servidores solo de RAM significan que no hay nada que entregar a posteriori.

### Contra qué no protege

- **Compromiso del dispositivo.** El malware, un registrador de pulsaciones o una aplicación hostil en tu propio dispositivo ven tu actividad antes de que esta entre en el túnel.
- **Identificación a nivel de cuenta.** Si inicias sesión en un servicio, ese servicio sabe que eres tú, independientemente de la VPN.
- **Huella digital del navegador y del dispositivo.** Los rastreadores aún pueden identificar tu navegador; combina SecurQbit con una configuración del navegador respetuosa con la privacidad.
- **Phishing e ingeniería social.** Una VPN no puede impedir que introduzcas credenciales en un sitio falso.
- **Exclusiones mal configuradas.** Las aplicaciones que excluyas mediante el [túnel dividido](/split-tunneling) no están protegidas.

> **Nota:** La privacidad sólida se construye por capas. Usa SecurQbit junto con una buena higiene del dispositivo, prácticas cuidadosas con las cuentas y un navegador consciente de la privacidad.

## Lecturas adicionales

- [Cifrado y protocolos](/encryption) — las primitivas criptográficas.
- [Sin registros y privacidad](/no-logs-privacy) — los datos que deliberadamente no conservamos.
