🛡️ Características de Seguridad

🔒 Cifrado AES-256-CBC Grado Militar

Cada archivo subido a FileWalla está cifrado usando cifrado AES-256-CBC, el mismo estándar utilizado por gobiernos y ejércitos en todo el mundo para proteger información clasificada.

• Claves de cifrado únicas por organización
• Derivación segura de claves desde la clave maestra (almacenada en variables de entorno)
• Cifrado del lado del servidor con gestión de clave maestra
• Permite la moderación legal de contenido manteniendo una seguridad sólida

🛡️ Cifrado del Lado del Servidor vs de Extremo a Extremo

FileWalla utiliza cifrado fuerte del lado del servidor (AES-256) para proteger todos los archivos en reposo, junto con cifrado en tránsito (TLS) para proteger los datos durante la transferencia.

Hemos elegido intencionalmente un modelo de cifrado del lado del servidor en lugar de cifrado de extremo a extremo. Esta decisión nos permite proporcionar características esenciales de seguridad y cumplimiento, incluyendo escaneo de malware, detección de abuso, moderación legal de contenido y opciones de recuperación segura de archivos.

Si bien el cifrado de extremo a extremo impide que incluso el proveedor del servicio acceda al contenido, también elimina la capacidad de escanear en busca de virus, prevenir la distribución de contenido ilegal, asistir a usuarios que pierden credenciales o cumplir con obligaciones legales en jurisdicciones reguladas como Canadá.

Nuestro enfoque equilibra la privacidad, la seguridad y la responsabilidad legal. Los archivos almacenados en nuestros servidores no pueden ser accedidos fuera del sistema FileWalla, y controles de acceso estrictos rigen cualquier capacidad de descifrado administrativo.

Creemos que la seguridad responsable significa proteger los datos del usuario mientras también se previene el mal uso y se mantiene el cumplimiento con las leyes aplicables. Nuestro modelo de cifrado refleja ese equilibrio.

🛡️ Escaneo de Virus Multinivel Activo

Todos los archivos se escanean en busca de virus y malware ANTES del cifrado usando un enfoque multicapa:

• ClamAV (Principal): Antivirus estándar de la industria con actualizaciones diarias
• phpMussel (Respaldo): Detección de malware basada en patrones
• Política de Confianza Cero: Cargas bloqueadas si no hay escáner disponible
• Verificación de Escaneo: Insignias visuales muestran qué escáner verificó cada archivo
• Registro Integral: Todos los eventos de escaneo registrados en la pista de auditoría

🚫 Bloqueo de Archivos Cifrados Tolerancia Cero

Los archivos ZIP, RAR y 7z protegidos con contraseña se bloquean automáticamente para prevenir el abuso y garantizar que todo el contenido pueda escanearse en busca de material ilegal.

• Detección automática de archivos cifrados/protegidos con contraseña
• Sistema de 3 infracciones con suspensión automática
• Alertas al administrador por violaciones repetidas
• Previene el abuso criminal y la distribución de CSAM

✅ Verificación de Integridad de Archivos

Cada archivo incluye sumas de verificación SHA-256 para verificar la integridad y detectar manipulaciones.

• Hash SHA-256 generado al cargar
• Verificación automática al descargar
• Detección de manipulación y alertas de corrupción

🔐 Hash de Contraseñas Bcrypt Estándar de la Industria

Todas las contraseñas se procesan con hash usando Bcrypt con factor de costo 10, haciéndolas prácticamente imposibles de descifrar incluso si la base de datos se ve comprometida.

• Hash unidireccional (las contraseñas no pueden ser descifradas)
• Generación automática de salt
• Requisitos de complejidad de contraseña aplicados
• Mínimo 8 caracteres, mayúsculas, minúsculas, números, caracteres especiales

📱 Autenticación de Dos Factores (2FA) Google Authenticator

2FA opcional usando Google Authenticator agrega una capa adicional de seguridad a su cuenta.

• Implementación TOTP (Contraseña de Un Solo Uso Basada en Tiempo)
• Configuración con código QR para fácil configuración
• Códigos de respaldo para recuperación de cuenta
• Obligatorio para cuentas de administrador

🚨 Protección Progresiva contra Fuerza Bruta Multicapa

Protección avanzada multinivel contra ataques de inicio de sesión con contramedidas escalables:

• Fuerza Bruta Estándar: 5 intentos fallidos en 5 minutos → bloqueo de IP por 10 minutos
• Ataque de Diccionario: 20+ intentos por minuto → bloqueo de IP por 1 hora + alerta al administrador
• Reincidentes: 3 ataques de diccionario en 24 horas → PROHIBICIÓN PERMANENTE
• Registro Integral: Todos los intentos fallidos rastreados con IP, marca de tiempo y pista de auditoría
• Alertas Automáticas: Administrador notificado de todos los eventos de seguridad por correo electrónico

🍪 Gestión Segura de Sesiones

Las sesiones están configuradas con ajustes de máxima seguridad para prevenir secuestros y robos.

• Cookies HTTPOnly (previene acceso JavaScript)
• Indicador Secure (transmisión solo HTTPS)
• Regeneración de sesión al iniciar sesión
• Tiempo de espera automático tras inactividad

💉 Prevención de Inyección SQL Cobertura 100%

Todas las consultas a la base de datos usan sentencias preparadas PDO, haciendo imposibles los ataques de inyección SQL.

• Consultas parametrizadas en todo el código
• Sanitización y validación de entradas
• Capa de abstracción de base de datos para portabilidad

🔍 Registro de Auditoría Integral

Cada acción relevante para la seguridad se registra con detalles completos para análisis forense.

• Inicios de sesión, cierres de sesión, cambios de contraseña
• Cargas de archivos, descargas, eliminaciones
• Intentos fallidos de inicio de sesión y bloqueos de seguridad
• Acciones de administrador y cambios del sistema
• Direcciones IP, marcas de tiempo y agentes de usuario

⚖️ Herramientas de Cumplimiento Legal Ley Canadiense

Herramientas integradas para moderación legal de contenido y cumplimiento con la ley canadiense.

• Panel de moderación de contenido para administradores
• Reporte de CSAM a NCMEC/Cybertip.ca/RCMP
• Preservación de evidencia para las fuerzas del orden
• Prevenir el abuso criminal manteniendo la privacidad

👥 Control de Acceso Basado en Roles

Sistema de permisos de tres niveles para colaboración grupal con jerarquías claras.

• Propietario: Control total, gestión de facturación, aprobación de miembros
• Administrador: Gestión de miembros, moderación de archivos
• Miembro: Compartir archivos, mensajería dentro del grupo

🌐 Alojamiento Seguro

Alojado en infraestructura canadiense para mantener la soberanía digital y de dominio con residencia de datos canadiense.

• Cifrado SSL/TLS para todas las conexiones
• Protección DDoS y filtrado de tráfico
• Actualizaciones de seguridad y parches regulares
• Protección de firewall y detección de intrusiones

🔑 Seguridad de Variables de Entorno

Las claves maestras de cifrado y credenciales de API se almacenan de forma segura en variables de entorno.

• Sin secretos en el código o control de versiones
• SetEnv en .htaccess para producción
• Configuraciones separadas de desarrollo/producción

📁 Protección de Directorio de Cargas

Configuración especial previene la ejecución de archivos maliciosos en directorios de carga.

• .htaccess bloquea la ejecución de PHP en uploads/
• Validación y sanitización de tipos de archivo
• Límites de tamaño previenen abuso de almacenamiento

🚨 Detección de Amenazas en Tiempo Real

Sistemas automatizados monitorean actividad sospechosa y responden inmediatamente.

• Rastreo y análisis de inicios de sesión fallidos
• Detección de patrones de acceso inusuales
• Bloqueos automáticos de IP para ataques
• Alertas por correo electrónico a administradores

📈 Panel de Análisis de Seguridad

El panel de administración proporciona métricas e información de seguridad en tiempo real.

• Intentos fallidos de inicio de sesión (vista de 24 horas)
• Bloqueos de IP activos
• Prohibiciones permanentes
• Estadísticas de escaneo de virus
• Monitoreo de actividad de usuarios