Seguridad
En COINEXUS estamos comprometidos con la seguridad de toda la plataforma y de los usuarios que dependen de su correcto funcionamiento día tras día. Por lo tanto, tenemos un enfoque diseñado para mantener la seguridad de todos que sigue múltiples principios:
- Construir un sistema de defensa robusto contra amenazas externas.
- Minimizar las vulnerabilidades existentes por el error humano de nuestros usuarios.
- Emplear estrictos protocolos internos de seguridad que garanticen la correcta manipulación de los activos.
La mayoría de los activos digitales de nuestros usuarios son almacenados en un sistema abovedado completamente desconectado de Internet, es decir, almacenamiento en frío (Cold Storage). Sólo una pequeña porción de los activos digitales se mantiene en wallets conectados a la red (Hot Storage) para cumplir con las tareas de retiros.
Cold Wallet
Para nuestro entrono de almacenado en frío empleamos diferentes niveles de control de acceso y redundancia. Utilizamos la tecnología Multi-signature que nos permite eliminar puntos únicos de fallo y agregar mayor resistencia contra ataques. El hardware empleado para el almacenamiento proviene directamente de fabricantes certificados y aprueba diferentes protocolos de control de calidad, los mismos se encuentran almacenados en instalaciones monitoreadas y con acceso controlado que están geográficamente distribuidas.
Hot Wallet
Nuestro entorno de producción para almacenado en caliente de activos digitales es administrado por los líderes globales de wallets blockchain y seguridad. Para autorizar las transacciones en estos wallets se requieren mútiples claves privadas que se encuentran almacenadas en distintas ubicaciones. Adicionalmente, establecemos controles de gastos que se ajustan al volumen de transacciones en la plataforma para asegurarnos de minimizar el impacto de cualquier ataque.
Infraestructura
Los servicios principales de COINEXUS se encuentra alojados en la plataforma PaaS Heroku, una de las plataformas de computación como servicio en la nube de mayor trayectoria. A su vez toda la infraestructura física de Heroku y, otros microservicios y aplicaciones de nuestro ecosistema de software se encuentran alojados en AWS. La seguridad de ambas empresas se encuentra entre las más altas del mercado.
Entre las protecciones que ofrecen AWS y Heroku, están el cifrado de las comunicaciones, el uso de firewalls de red integrados, mitigación de ataques DDoS, control de acceso, detección y extinción de incedios, ininterrupción del suministro eléctrico, entre muchas otras.
Plataforma
Nuestra plataforma propietaria y registrada emplea diferentes técnicas de seguridad informática que permiten eliminar numerosas amenazas de agentes externos y proveer a nuestros usuarios métodos sencillos para incrementar la seguridad de acceso a sus cuentas y controlar operaciones sensibles como retiros de fondos. Algunas de estas técnicas son:
- La autenticación en dos pasos (2FA) es obligatoria para todos los usuarios, incluso en operaciones de retiro y modificación de información sensible.
- Toda la información sensible se encuentra almacenada de manera encriptada utilizando estándares modernos y comprobados.
- Se aplica limitación de consultas a la mayoría de operaciones de cuentas, tales como intentos de inicio de sesión con el fin de frustrar ataques de fuerza bruta.
- Todos los datos del sitio web se transmiten a través de conexiones cifradas Transport Layer Security (TLS), como HTTPS y WSS.
- Aprovechamos las características de seguridad de contenido que ofrecen los navegadores modernos como HTTP Strict Transport Security (HTST).
- Empleamos técnicas modernas como CSRF tokens y X-Frame middlewares para proteger nuestra plataforma contra ataques del tipo XSS, CSRF, Inyección SQL, Clickjacking, entre otros.
¿Cómo mejorar tu seguridad?
Existen numerosas acciones que tú como usuario puedes realizar para incrementar la seguridad de tu cuenta y de las operaciones que realizas en la plataforma. Mantener la seguridad de tu correo electrónico es un factor clave, habilitar la autenticación en dos pasos, si tu proveedor de correo lo permite, en tu cuenta incrementa considerablemente la dificultad contra accesos no autorizados. Revisa los métodos de recuperación de tu cuenta de correo así como también los dispositivos y aplicaciones autorizadas, asegúrate que todo se encuentre en orden.
En tu cuenta COINEXUS activa como método de autenticación en dos pasos Google Authenticator, haciendo un respaldo de tu clave privada que te permita recuperar el acceso a tu cuenta en caso de que extravíes tu dispositivo móvil. Cambia la contraseña de tu cuenta periódicamente, revisa los correos que te enviamos indicando un acceso exitoso a tu cuenta. Si no reconoces alguna actividad, desactiva inmediatamente tu cuenta en la sección de Perfil y comunícate con nuestro centro de soporte.
Comunicación segura
Si deseas compartir alguna información de vulnerabilidad o enviar cualquier otro tipo dedatos privados, como documentos personales. Recomendamos el uso de PGP (Pretty Good Privacy) para cifrar el contenido de los mensajes que envíes a nuestro correo de seguridad: seguridad@coinexus.com. Nuestra clave pública PGP es:
-----BEGIN PGP PUBLIC KEY BLOCK-----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Utga
-----END PGP PUBLIC KEY BLOCK-----