La seguridad es lo primero: cómo Dashlane protege sus datos
Publicado originalmente el 20 de enero de 2023
Las violaciones de seguridad de perfil alto hacen que mucha gente desee comprender mejor la calidad y la fortaleza de sus herramientas de seguridad en línea. En Dashlane nuestro enfoque de seguridad único se refleja en nuestra tecnología y cultura. No creemos en los atajos, por lo que cada decisión que tomamos comienza con su seguridad en mente. Y todo comienza con la encriptación.
El cifrado de Dashlane protege TODOS sus datos
Aunque nuestro Libro blanco de seguridad explica los aspectos técnicos, he aquí un resumen de lo que debe saber sobre el cifrado de los datos de los clientes.
- Confiamos en las mejores primitivas criptográficas de su clase para gestionar el cifrado de la caja fuerte. Se trata en verdad de un área en la que es crucial aprovechar soluciones fiables y probadas que hayan sido revisadas y aprobadas en todo el sector.
- Usamos Argon2, una función ganadora del Concurso de comprobación de contraseñas, para generar una clave de cifrado AES (siglas en inglés de Estándar de cifrado avanzado, o Advanced Encryption Standard) de 256 bits para la encriptación y descifrado de los datos personales de alguien en su dispositivo.
- El acceso a los datos de cualquiera requiere su contraseña maestra, que solo la conoce esa persona y nunca se almacena en los servidores de Dashlane ni se transmite a través de Internet. Para las organizaciones que usan el inicio de sesión único (SSO) con Dashlane, los empleados no necesitan crear una contraseña maestra. Sin embargo, el resultado final sigue siendo el mismo: protegemos todos los datos.
Descubra por qué siempre debe vincular el SSO con un administrador de contraseñas para disponer de una capa extra de seguridad.
La arquitectura de conocimiento cero de Dashlane significa que solo usted puede acceder a sus datos
El principio de arquitectura en el que se basa nuestra seguridad se llama sistema de conocimiento cero. Esto significa que nadie —ni siquiera Dashlane— tiene acceso a sus datos.
Sus ingresos y su información personal siempre están encriptados, lo que los bloquea tras una pléyade de datos irreconocibles. Nadie puede ver sus ingresos ni su información personal sin descifrar o desbloquear los datos. La única forma en que se puede descifrar su información es con su contraseña maestra. Como nadie excepto usted conoce su contraseña maestra (nosotros no la vemos nunca), solo usted puede acceder a sus datos. Para los clientes que usan el SSO mantenemos el mismo enfoque de conocimiento cero.
Nunca confiamos en ningún código de servidor ni en ninguna persona con acceso a los datos de los clientes. Sin embargo, el conocimiento cero, aunque importante, es un estándar bastante habitual en el mundo de la seguridad. Lo que diferencia a Dashlane es cómo diseñamos a partir de ese enfoque.
Consulte estas preguntas frecuentes sobre seguridad para obtener más información. O bien profundice en la arquitectura de seguridad de Dashlane con nuestro Libro blanco de seguridad.
En Dashlane ejemplificamos nuestra cultura de seguridad de cuatro maneras
La seguridad no solo se trata de herramientas y software caros; se trata de personas, y al personal de Dashlane le apasiona la privacidad. La privacidad de los datos está en el centro de nuestro producto: construimos Dashlane sobre la creencia de que sus contraseñas y datos siempre deben estar protegidos, ser privados y accesibles solo para usted. Para vivir esos valores y mantener la mejor cultura de seguridad, tomamos medidas consistentes para mitigar los riesgos de potenciales ataques contra Dashlane mediante:
- La identificación de la posible explotación de vulnerabilidades de aplicación: nuestro proceso de desarrollo de software tiene como objetivo minimizar el riesgo de vulnerabilidades mediante la revisión de código, las pruebas automatizadas y las puertas de calidad. Sin embargo, sabemos que ningún código es perfecto; siempre hay errores y problemas que un actor malicioso podría intentar usar para acceder a los datos de los clientes. Por lo tanto, los investigadores de seguridad son otro ladrillo importante en nuestra sólida base de seguridad. Nuestro programa de recompensas de errores incentiva a los hackers éticos (los buenos) a buscar vulnerabilidades y ayudarnos a solucionar cualquier problema antes de que los actores malos los encuentren.
- Bloquear el acceso a nuestros servidores: el endurecimiento de la seguridad del lado del servidor nos permite aprovechar las mejores prácticas y estándares del sector como PCI-DSS o SOC2. Aprovechamos la seguridad integrada de AWS (uno de los servicios de alojamiento en la nube más respetados y seguros) además de los años de prácticas recomendadas y lecciones sobre seguridad de servidores de la comunidad tecnológica. Para Dashlane, se trata de hacer cumplir el concepto de conocimiento cero y de asegurarnos de que seguimos las citadas prácticas recomendadas.
- Evitar que nuestros sistemas internos se vean comprometidos: el compromiso de los sistemas internos es un riesgo crítico, como anteriores incidentes de seguridad como el ataque de cadena de suministro de Solarwind han demostrado. Dashlane trabaja para mantenerse por delante de dichos incidentes evaluando escenarios que describen niveles de acceso, sensibilidad de contenido y el grado en el que puede producirse daño. Funcionamos con un modelo de confianza cero, lo que significa que nunca confiamos en nadie a la hora de otorgar acceso a nuestros servidores. También ponemos en práctica sólidas prácticas de seguridad de TI, como la autenticación multifactor en todos los sistemas, además de la segregación de roles, el acceso de menor privilegio y una exhaustiva supervisión.
- Tener en cuenta el factor humano: confiamos en nuestros empleados, pero por su propia seguridad, también debemos asegurarnos de que si cualquier empleado recibe un soborno, amenazas o se pasa a los malos actores, no podrá dañar a nuestros clientes ni a nuestra empresa. Uno de nuestros sistemas más sensibles es nuestra fábrica de software. Hemos tomado medidas para asegurarnos de que tenemos un conducto de lanzamiento muy seguro con total trazabilidad. Hace falta la aprobación de varios ingenieros para poder enviar código. Aquí el objetivo es asegurarse de que un empleado no pueda enviar una versión de Dashlane corrupta.
Muchos de nuestros clientes han venido a Dashlane desde otras soluciones de administración de contraseñas y están encantados de compartir sus experiencias. Más información sobre organizaciones como Consero Global, VillageReach y Mercy Medical.
Dashlane evoluciona a medida que crece el panorama de amenazas
Nuestra cultura de seguridad no solo trabaja para mantener seguros sus datos, sino que también fomenta un entorno que anima la innovación. Continuamente buscamos formas de vanguardia de ampliar y fortalecer la seguridad de nuestros productos.
En 2018 vimos un aumento de la potencia informática y migramos nuestra función de derivación de claves desde PBKDF2 a Argon2 para asegurarnos de que ofrecíamos la solución más actualizada. Argon2 está optimizada para resistir ataques de crackeo de las GPU. No solo hicimos de Argon2 la función predeterminada para nuestros nuevos clientes, sino que también nos aseguramos de migrar automáticamente a los clientes existentes para que aprovecharan la solución más actualizada y segura.
Otro ejemplo de pensamiento avanzado lo tenemos en nuestros esfuerzos por entrar en una época sin contraseñas. La tecnología de autenticación más reciente, que usa claves de acceso, tiene el potencial de reducir significativamente el riesgo de usar contraseñas débiles. Ya hemos anunciado compatibilidad con claves de acceso en Dashlane, y somos el primer administrador de contraseñas en ofrecer una solución de clave de acceso en el navegador. Esto añade seguridad y facilita las cosas: pronto podrá iniciar sesión en su administrador de contraseñas sin ninguna contraseña.
¿Qué sigue? Ya estamos valorando cómo se ajustará la criptografía poscuántica al futuro de Dashlane. Aprovechamos las nuevas tecnologías informáticas para hacer más fáciles y seguras las integraciones con sistemas de inicio de sesión único (SSO). Estos desarrollos, y otros similares, ayudan a reducir las exposiciones de seguridad al tiempo que hacen más fácil que nunca mantener seguros sus datos.
Eche un vistazo más de cerca a nuestra descripción general de privacidad para saber cómo Dashlane usa cookies y datos. Nunca vendemos datos personales de usuario, y siempre tiene la opción de elegir cómo se usan las cookies y demás información.
Proteja sus datos con Dashlane
A medida que aumenta el compromiso de los datos, es importante comprender hasta qué punto sus herramientas pueden acceder, usar y almacenar sus datos. En Dashlane, la seguridad de nuestros clientes es nuestra prioridad principal. Creemos que construir un producto y adherirse a un proceso estricto alineado con la mejor seguridad de su clase es crucial para este éxito.
No esperamos que crea en nuestra palabra. Mientras seguimos trabajando todos los días para proteger los datos de las personas, le animamos a que nos mantenga en el más alto nivel y siga haciéndonos preguntas. Queremos darle las respuestas y el apoyo que necesita para sentir confianza en la seguridad de sus datos.
—Frederic Rivain, Jefe de tecnología
Si su organización busca una solución de administración de contraseñas segura, puede probar Dashlane gratis hoy mismo: solo se tarda 3 minutos en comenzar, y tenemos un programa de licencias de sitio que puede ayudarle a ahorrar.
Y si quiere probar Dashlane para administrar mejor su ciberseguridad personal, puede contar con nosotros.
Regístrese para recibir noticias y actualizaciones acerca de Dashlane