Cómo funciona
Cifrado de extremo a extremo. No podemos leer tus correos.
1
Registro y claves
Cuando te registras, tu navegador genera un par de claves localmente:
- Clave pública — se sube a nuestro servidor, se usa para cifrar correo entrante
- Clave privada — cifrada con tu contraseña (Argon2id), almacenada en el servidor
- Frase de recuperación — 24 palabras (BIP39), única forma de recuperar si olvidas tu contraseña
password → Argon2id → master_key → encrypt(private_key) → server
Importante: No almacenamos tu contraseña ni frase de recuperación. Perder ambas = perder acceso para siempre.
2
Recibir correo
Los correos entrantes se cifran con tu clave pública antes de almacenarlos:
incoming_email → crypto_box_seal(your_public_key) → encrypted_blob → database
Solo tu clave privada puede descifrar. No la tenemos. Fuga de base de datos = datos cifrados inútiles.
3
Enviar correo
A usuarios de defnd.email:
your_message → crypto_box_seal(recipient_public_key) → server → recipient decrypts
A destinatarios externos (Gmail, etc.):
No tienen claves. En su lugar:
- Estableces una contraseña para el mensaje
- El destinatario recibe un enlace a defnd.email/s/{token}
- Introduce la contraseña → descifrar y leer
- Puede responder (también cifrado)
Solo almacenamos el hash de la contraseña para verificación. Comparte la contraseña por separado (Signal, teléfono, etc.).
4
Cómo funciona
Correo
Qué podemos ver
Datos cifrados, metadatos para entrega
Qué no podemos ver
Contenido de correos, asuntos, adjuntos
Calendario
Qué podemos ver
Datos de eventos cifrados
Qué no podemos ver
Títulos, descripciones, ubicaciones de eventos
Notas
Qué podemos ver
Datos de notas cifrados
Qué no podemos ver
Contenido de notas, títulos
Contraseñas
Qué podemos ver
Entradas de bóveda cifradas
Qué no podemos ver
Contraseñas, usuarios, URLs
¿Cómo se cifran mis datos?
Todos los datos se cifran del lado del cliente usando una clave derivada de tu contraseña. Nunca vemos tus datos en texto plano.
¿Qué pasa si olvido mi contraseña?
Usa tu frase de recuperación de 24 palabras. Sin ella, los datos no se pueden recuperar — por diseño.
Criptografía
Intercambio de claves
X25519
Curve25519, libsodium
Cifrado
XChaCha20-Poly1305
Autenticado, nonce de 192 bits
Derivación de claves
Argon2id
Intensivo en memoria, resistente a GPU
Recuperación
BIP39
24 palabras, 256 bits de entropía
FAQ
¿Olvidaste tu contraseña?
Usa tu frase de recuperación de 24 palabras. Deriva la misma clave maestra que tu contraseña. Sin frase de recuperación = sin acceso.
¿Perdiste la frase de recuperación Y olvidaste la contraseña?
Tus datos se han perdido. Para siempre. No podemos descifrarlos. Este es el compromiso del cifrado real de conocimiento cero.
¿Dónde se almacena mi clave privada?
Copia cifrada en nuestro servidor. Se descifra solo en la memoria del navegador durante el inicio de sesión. Nunca la vemos en texto plano.
¿Puedo cambiar mi contraseña?
Sí. Tu clave privada se vuelve a cifrar con la nueva contraseña. La frase de recuperación permanece igual.
¿Por qué no PGP?
PGP es legado. X25519 + XChaCha20 (libsodium) es moderno, más rápido, claves más pequeñas, mejores valores predeterminados. No se necesita configuración.
¿Es código abierto?
Aún no. La criptografía es libsodium estándar: puedes verificarlo en las herramientas de desarrollo del navegador.