Trusted Codes

Preguntas Frecuentes

Preguntas Frecuentes

Todo lo que necesita saber sobre Trusted Codes.

Primeros Pasos

Descargue la aplicación, cree su cuenta y comience a agregar contactos de confianza. Cuando conozca a alguien en persona — familia, amigos o colegas — agréguelo a su bóveda. A partir de entonces, puede verificar su identidad con una simple comprobación de código cada vez que le contacten.

No — cada capa de Trusted Codes es segura, pero la aplicación ofrece la experiencia completa. Los códigos de invitado le permiten verificar a cualquier persona al instante, sin necesidad de instalar nada. Una aplicación web ligera (próximamente) ofrecerá a empresas, subcontratistas y proveedores de servicios un portal de verificación personalizado para sus clientes. Y la aplicación nativa es el estándar de referencia: bóvedas cifradas de extremo a extremo, verificación sin conexión y rotación automática diaria de códigos — la protección más fuerte disponible.

Por supuesto. La aplicación está diseñada para ser lo más sencilla posible. Una vez configurada, los usuarios solo necesitan abrir la aplicación y leer tres palabras. No se requieren conocimientos técnicos. Recomendamos ayudar a los familiares mayores a configurar sus contactos en persona.

Si pierde su dispositivo, puede acceder a su cuenta desde un nuevo dispositivo usando su clave de recuperación. También debería notificar a sus contactos de confianza que perdió su dispositivo para que tengan precaución adicional hasta que confirme que su nuevo dispositivo es seguro.

Seguridad y Privacidad

Podrían, pero solo dentro de una ventana de 24 horas antes de que el código cambie. Además, necesitarían una conexión existente con usted (que usted tendría que aprobar primero) o engañarle para aceptarlos como nueva conexión (donde la puntuación de confianza le advertiría). La naturaleza temporal de los códigos hace que los ataques de repetición sean muy difíciles.

Con 100 conexiones (usuario avanzado típico), la probabilidad de una coincidencia es inferior al 0,001%. Si ocurre, la aplicación muestra ambos contactos coincidentes y le pide que aclare a cuál persona se refiere. No se produce ninguna brecha de seguridad — simplemente elige a la persona correcta.

Los códigos se basan en ventanas de tiempo de 24 horas. Mientras su reloj esté dentro de unos minutos de la hora correcta, los códigos coincidirán. La aplicación también puede verificar ventanas de tiempo adyacentes (±15 minutos) para manejar pequeñas desviaciones del reloj. Si su reloj está muy desajustado, la aplicación mostrará una advertencia.

No. Los códigos se generan en su dispositivo usando el secreto cifrado. El secreto está cifrado de extremo a extremo — solo sus dispositivos pueden descifrarlo. Nunca vemos el secreto descifrado, nunca vemos los códigos (no se transmiten), e incluso si quisiéramos, no podemos generar sus códigos. Esto se llama arquitectura de "conocimiento cero".

Incluso si nuestros servidores se ven completamente comprometidos, los atacantes solo obtienen datos cifrados que no pueden descifrar. Sus claves privadas nunca abandonan su dispositivo. Sus secretos siguen siendo suyos. Una brecha del servidor es irrelevante para su seguridad — esto se denomina "protección de datos por diseño".

Son dos situaciones distintas. Quien roba sus credenciales de acceso no obtiene casi nada: los secretos de verificación están cifrados de extremo a extremo por dispositivo — una contraseña robada por sí sola no puede generar sus códigos. Añadir un dispositivo nuevo requiere su clave de recuperación o la aprobación desde un dispositivo que ya posee. En cambio, quien toma el control de su dispositivo desbloqueado puede generar sus códigos mientras lo tenga — el mismo riesgo que con cualquier credencial vinculada a un dispositivo. El daño queda contenido: los secretos se guardan en el llavero seguro del dispositivo tras la biometría y no existe un almacén central de códigos — solo se ven afectadas las conexiones de esa persona. La recuperación es sencilla: sus contactos eliminan la conexión y la restablecen, lo que genera secretos nuevos e invalida de forma permanente todo lo que el atacante haya copiado. En las organizaciones, las identidades Beacon están vinculadas a las cuentas de los empleados y pueden revocarse de forma centralizada en cuanto se notifica que un dispositivo está comprometido.

Actualmente, no. Los ordenadores cuánticos capaces de romper nuestro cifrado (X25519) aún no existen y se estima que faltan entre 10 y 20 años. Estamos monitorizando activamente los estándares de criptografía poscuántica y actualizaremos antes de que los ordenadores cuánticos se conviertan en una amenaza. La generación de códigos de tres palabras en sí NO es vulnerable a los ordenadores cuánticos.

Limitaciones y Respuestas Honestas

Creemos en ser transparentes sobre lo que Trusted Codes puede y no puede hacer.

Trusted Codes verifica que alguien es la misma persona que usted agregó anteriormente. No puede verificar si la persona que agregó originalmente estaba diciendo la verdad sobre su identidad. Si agrega a un estafador que finge ser su banco, la verificación se aprobará cuando ese mismo estafador llame de nuevo. Por eso solo debe agregar personas que conozca en persona.

Si alguien le obliga a proporcionar códigos bajo amenaza, el sistema no puede detectarlo. Estamos desarrollando "códigos de coacción" como una función futura — códigos especiales que parecen válidos pero alertan silenciosamente a las autoridades.

Si alguien roba el teléfono de su amigo y evita su bloqueo biométrico, podría leer el código de verificación y suplantarle. Por eso la verificación debe combinarse con otras comprobaciones para solicitudes de alto riesgo: llámele de vuelta a un número guardado, solicite una videollamada o use una palabra clave secreta.

¡Sí! Una vez que haya descargado los secretos cifrados de sus conexiones, todo funciona sin conexión. Los secretos se almacenan en el llavero seguro de su dispositivo, la lista de palabras está incluida en la aplicación y la generación de códigos es puramente matemática. Puede estar en modo avión y seguir verificando.

Precios

Sí. Proteger a su familia de estafas no debería ser un lujo. Nuestro generoso plan gratuito cubre la mayoría de las necesidades personales y familiares. Creemos que todos merecen protección contra el fraude por suplantación de identidad, independientemente de su situación económica.

Estamos desarrollando soluciones para empresas y organizaciones con necesidades de seguridad específicas. Si está interesado, contáctenos para discutir sus requisitos.

No requiere millones de conexiones — para eso existen los Beacons. Las conexiones 1:1 están pensadas para personas que ya se conocen. Un banco registra un único Beacon a nivel de organización y asigna una identidad Beacon a cada empleado que realiza llamadas salientes. Cualquier cliente puede verificar un código Beacon mediante una comprobación web gratuita — sin instalar una app, sin cuenta, sin emparejamiento previo. El despliegue y el precio escalan, por tanto, con el personal que llama del banco, no con su base de clientes. Para un control total sobre la residencia de los datos y la infraestructura, las grandes instituciones pueden además operar el servicio de verificación como un servidor federado autoalojado: su propio nodo, sus propios datos, plenamente interoperable con el resto de la red.

¿Todavía tiene preguntas?

Estamos aquí para ayudar. Escríbanos y le responderemos lo antes posible.

¿Listo para proteger lo que importa?

Comience en 60 segundos. Gratis para familias.