Seguridad

En COINEXUS estamos comprometidos con la seguridad de toda la plataforma y de los usuarios que dependen de su correcto funcionamiento día tras día. Por lo tanto, tenemos un enfoque diseñado para mantener la seguridad de todos que sigue múltiples principios:

  1. Construir un sistema de defensa robusto contra amenazas externas.
  2. Minimizar las vulnerabilidades existentes por el error humano de nuestros usuarios.
  3. Emplear estrictos protocolos internos de seguridad que garanticen la correcta manipulación de los activos.

La mayoría de los activos digitales de nuestros usuarios son almacenados en un sistema abovedado completamente desconectado de Internet, es decir, almacenamiento en frío (Cold Storage). Sólo una pequeña porción de los activos digitales se mantiene en wallets conectados a la red (Hot Storage) para cumplir con las tareas de retiros.

Cold Wallet

Para nuestro entrono de almacenado en frío empleamos diferentes niveles de control de acceso y redundancia. Utilizamos la tecnología Multi-signature que nos permite eliminar puntos únicos de fallo y agregar mayor resistencia contra ataques. El hardware empleado para el almacenamiento proviene directamente de fabricantes certificados y aprueba diferentes protocolos de control de calidad, los mismos se encuentran almacenados en instalaciones monitoreadas y con acceso controlado que están geográficamente distribuidas.

Hot Wallet

Nuestro entorno de producción para almacenado en caliente de activos digitales es administrado por los líderes globales de wallets blockchain y seguridad. Para autorizar las transacciones en estos wallets se requieren mútiples claves privadas que se encuentran almacenadas en distintas ubicaciones. Adicionalmente, establecemos controles de gastos que se ajustan al volumen de transacciones en la plataforma para asegurarnos de minimizar el impacto de cualquier ataque.

Infraestructura

Los servicios principales de COINEXUS se encuentra alojados en la plataforma PaaS Heroku, una de las plataformas de computación como servicio en la nube de mayor trayectoria. A su vez toda la infraestructura física de Heroku y, otros microservicios y aplicaciones de nuestro ecosistema de software se encuentran alojados en AWS. La seguridad de ambas empresas se encuentra entre las más altas del mercado.

Entre las protecciones que ofrecen AWS y Heroku, están el cifrado de las comunicaciones, el uso de firewalls de red integrados, mitigación de ataques DDoS, control de acceso, detección y extinción de incedios, ininterrupción del suministro eléctrico, entre muchas otras.

Plataforma

Nuestra plataforma propietaria y registrada emplea diferentes técnicas de seguridad informática que permiten eliminar numerosas amenazas de agentes externos y proveer a nuestros usuarios métodos sencillos para incrementar la seguridad de acceso a sus cuentas y controlar operaciones sensibles como retiros de fondos. Algunas de estas técnicas son:

  • La autenticación en dos pasos (2FA) es obligatoria para todos los usuarios, incluso en operaciones de retiro y modificación de información sensible.
  • Toda la información sensible se encuentra almacenada de manera encriptada utilizando estándares modernos y comprobados.
  • Se aplica limitación de consultas a la mayoría de operaciones de cuentas, tales como intentos de inicio de sesión con el fin de frustrar ataques de fuerza bruta.
  • Todos los datos del sitio web se transmiten a través de conexiones cifradas Transport Layer Security (TLS), como HTTPS y WSS.
  • Aprovechamos las características de seguridad de contenido que ofrecen los navegadores modernos como HTTP Strict Transport Security (HTST).
  • Empleamos técnicas modernas como CSRF tokens y X-Frame middlewares para proteger nuestra plataforma contra ataques del tipo XSS, CSRF, Inyección SQL, Clickjacking, entre otros.

¿Cómo mejorar tu seguridad?

Existen numerosas acciones que tú como usuario puedes realizar para incrementar la seguridad de tu cuenta y de las operaciones que realizas en la plataforma. Mantener la seguridad de tu correo electrónico es un factor clave, habilitar la autenticación en dos pasos, si tu proveedor de correo lo permite, en tu cuenta incrementa considerablemente la dificultad contra accesos no autorizados. Revisa los métodos de recuperación de tu cuenta de correo así como también los dispositivos y aplicaciones autorizadas, asegúrate que todo se encuentre en orden.

En tu cuenta COINEXUS activa como método de autenticación en dos pasos Google Authenticator, haciendo un respaldo de tu clave privada que te permita recuperar el acceso a tu cuenta en caso de que extravíes tu dispositivo móvil. Cambia la contraseña de tu cuenta periódicamente, revisa los correos que te enviamos indicando un acceso exitoso a tu cuenta. Si no reconoces alguna actividad, desactiva inmediatamente tu cuenta en la sección de Perfil y comunícate con nuestro centro de soporte.

Comunicación segura

Si deseas compartir alguna información de vulnerabilidad o enviar cualquier otro tipo de datos privados, como documentos personales. Recomendamos el uso de PGP (Pretty Good Privacy) para cifrar el contenido de los mensajes que envíes a nuestro correo de seguridad: seguridad@coinexus.com. Nuestra clave pública PGP es:

                    
                    -----BEGIN PGP PUBLIC KEY BLOCK-----

                    mQENBFnrn/IBCADS6I1QFCNDQjLhEQXslnDlhRoZL7TmC/jt0mAQ4uDnGGrUao8p
                    vL00tfyzWE1HTOfjTlFeFIe+aSxYrvYfuwcYHhIMlNIAOEFoPr2FUf6QS7IDA5lL
                    UGepYXD0K5WtPqpo5vfpwe8QF07O/StqnX5JvJ7tBvJf3hnVQe2CNZF7VKekVTfn
                    NJaxhz9nl88s01Arb7OY4gBYa1EZsbPG0bEtBQAvm9l0ta288rDfIFcg/ubemkZn
                    cRIwBv+EkIktkdd4296mBVM49NcNr/UCbPj/ak3bRoq1UeTfvz3RuYbSmQg0H/RZ
                    eJO/Ib5/9daIpXDmUw22FwjPLSKRLkFDMS+nABEBAAG0IUNPSU5FWFVTIDxzZWd1
                    cmlkYWRAY29pbmV4dXMuY29tPokBUwQTAQgAPhYhBKBTsb+Jl4/JBUS8oXzN/4SG
                    e2ocBQJZ65/yAhsDBQkDwmcABQsJCAcCBhUICQoLAgQWAgMBAh4BAheAAAoJEHzN
                    /4SGe2ocFjAH+Ju/EDUyNTXUpaifLWywg7aQtJZ1LcyNZAhPS/3zbYaogZGbx6Rm
                    2xPLFqt0iWF4IUzh6GmnCWF3+o4yEM7D5AkzNbdd4Ut94ABiQ3BRC4bZ7cDFMpkm
                    TlwRtb7CWdSCpiHNNmQJmKQ6YnfAqwKBx/q04xGUVWdCNTZT/TqFu1zjoItLUFxZ
                    jj7VbhMcQKjlKnGpSHWznQhQ64lOI2paAdygbQs1haJZzNlLNQ1ayJqsYf2SrIEA
                    U7ovOnMk4qCJdeGpMuk6nEtzfgS6xxh7dHsThX/kATGX3tWlaYowhM0Y+hXfJkIf
                    HtmvxjP5yVDpyIuz0V4V2JUtzPgjFcMK+rkBDQRZ65/yAQgAyD777zQ3S8vIxqAL
                    oa1sAXS68Ii8DFn20S0BU+XDRPZOnYiemqBZc6tfDC/FN3Ehlz2UorsjEIZZCGr3
                    y4DG/a5NQy8hRlYC/bPhKFrgOSEYU+tlZWiVxgNOazq40bFxYY9mRvNbpwdMlAdT
                    EZee60Fu9kKVAed2FJD5bexuoZJvadw2jAsXaGxCVty7AyhXsDr7ceqBlIvDsKY6
                    rCtJ9hqW5CW0nYOMSIAqLOzrF0RHWV5v6EEegjR0eCXY2sVttiVqk5czgi0QfxAy
                    FCTIrBoDLTG/YQ7IJ4dqaj0GgCWYf3QG5Tir8uWVeVHDUt7a5RhWTgB5FJZ+4pgS
                    E4OVcQARAQABiQE8BBgBCAAmFiEEoFOxv4mXj8kFRLyhfM3/hIZ7ahwFAlnrn/IC
                    GwwFCQPCZwAACgkQfM3/hIZ7ahzlEggAlVBYbpyyw65jmBPqyNB4CmxagDChzoSa
                    UXuyZ1iK9GCuV05jK45w6OE4w8L9suhlJ0dDBD9UMNltvCBiERS9vYvdYXZUB/H4
                    VQ2JP6J3PSewvFroVDjLvBKTr6vAuik3Ra6Gz+efO2XG5Pw1QtUwHT1pFMixJbAT
                    eu7PIf/CQbQXwjgRIJWyoTJPRnfsgcrau8oN/Hi32m3lp2ql8YsUXUBhUKXxSDj8
                    sVspSF9rFwJlJr8b6awT/oDPQB+1Lz+Vr/rf4WHO9R0dv7Cvq1BVb8K7SoZ3QELH
                    1D++KmwdwFLvPcepywteEsE1RdrwGzfieyuwKzbVjdBewf3Je92OXw==
                    =NeXu
                    -----END PGP PUBLIC KEY BLOCK-----