Saltar al contenido principal
TerminalSync
ESEN
TerminalSyncVolver al inicio

Seguridad

Cómo protegemos los datos que sincronizás con TerminalSync, qué arquitectura usamos, y cómo reportar vulnerabilidades.

Última actualización: 4 de mayo de 2026

1. Modelo zero-knowledge

TerminalSync está diseñado para que nosotros nunca podamos acceder al contenido que sincronizás. Todo se cifra localmente en tu Mac antes de salir.

  • Algoritmo: AES-256-GCM (Galois/Counter Mode), un cifrado autenticado simétrico estándar de la industria. Nonce de 96 bits aleatorio por archivo.
  • Llave maestra: 256 bits, generada localmente la primera vez que abrís la app. Se persiste en el llavero del sistema operativo (macOS Keychain). Nunca toca disco plano.
  • Passphrase opcional: la llave maestra puede ir envuelta con una passphrase tuya usando Argon2id (m=19MiB, t=2, p=1). Sin passphrase no hay desbloqueo posible.

2. Tu nube, no la nuestra

Los archivos cifrados viajan al proveedor de almacenamiento que vos elegís: Google Drive, iCloud Drive, o Dropbox. TerminalSync no opera servidores de almacenamiento. El contenido nunca pasa por nuestra infraestructura.

Si querés cambiar de proveedor, simplemente lo configurás en la app — los archivos se re-suben cifrados al nuevo destino.

3. Vault de secretos

Las API keys, credenciales y secretos sensibles que vivan en archivos.env dentro de carpetas sincronizadas pueden ser marcadas como vault, y se cifran con una capa adicional independiente de la llave maestra. Lock/unlock por carpeta con un click.

4. API keys de terceros (Claude, OpenAI)

Si conectás Claude Code o Codex, las API keys se almacenan en el Keychain del sistema, NUNCA en disco plano ni en archivos JSON. La configuración usa apiKeyHelper que las lee on-demand al momento de la llamada.

5. Transporte

Toda comunicación con nuestros servicios usa TLS 1.3. HSTS preload activo (max-age=63072000; includeSubDomains; preload). Sin downgrades, sin tráfico claro.

6. Headers HTTP

El sitio implementa los siguientes headers defensivos:

  • Content-Security-Policy estricto (origen propio + dominios autorizados explícitamente)
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: cámara, micrófono, geolocalización deshabilitadas
  • X-Frame-Options: DENY
  • X-Content-Type-Options: nosniff
  • Strict-Transport-Security con preload

7. Reporte de vulnerabilidades

Si encontraste una vulnerabilidad, escribinos a security@terminalsync.ai con los detalles. Te respondemos dentro de 48 horas hábiles.

Pedimos disclosure responsable: dame ≥90 días para parchear antes de hacer público el detalle. Acreditamos a researchers en el security advisory.

8. Auditoría futura

El motor de cifrado va a ser auditable públicamente. Estamos trabajando en open-sourcing del módulo crypto para que cualquier experto pueda verificar los claims de esta página.

9. Contacto

Para temas de seguridad: security@terminalsync.ai. PGP key disponible bajo solicitud.