Skip to content

Seguridad

Defensa en profundidad, por diseño.

Última actualización — Febrero 2026

Arquitectura

InvestTracker está construido con una arquitectura que prioriza la seguridad. Tus datos financieros están cifrados en reposo y en tránsito, protegidos por controles de acceso estrictos y aislados para que nadie — ni otros usuarios, ni terceros, ni siquiera nosotros — pueda acceder a tus posiciones.

Autenticación

  • Autenticación segurael registro de usuarios, inicio de sesión y gestión de sesiones utilizan protocolos estándar de la industria. Las contraseñas se hashean con bcrypt y nunca se almacenan en texto plano.
  • Validación de sesión del lado del servidorcada solicitud autenticada se verifica del lado del servidor, llamando directamente al servicio de autenticación en lugar de confiar solo en el JWT.
  • Protección de middlewaretodas las rutas del panel están protegidas por middleware que verifica el estado de la sesión antes de renderizar.

Aislamiento de datos

Cada tabla de la base de datos está protegida por políticas estrictas de control de acceso. Las consultas se limitan automáticamente al usuario autenticado, garantizando un aislamiento completo de datos en la capa de base de datos, no solo en la capa de aplicación. Un usuario no puede leer ni modificar los datos de otro bajo ninguna circunstancia.

Las operaciones administrativas (trabajos cron, instantáneas masivas) utilizan una clave privilegiada separada con verificaciones de autorización explícitas y nunca se exponen al cliente.

Seguridad de rutas API

  • Endpoints cronprotegidos por un token portador secreto. Si el secreto no está configurado, el endpoint devuelve un 500 y se niega a ejecutarse.
  • Endpoints de exportaciónverifican la identidad del usuario y confirman la propiedad de la cartera antes de devolver cualquier dato.
  • Sin APIs públicasno hay endpoints no autenticados que expongan datos de usuario.

Seguridad de transporte

  • Todo el tráfico entre el cliente y el servidor utiliza HTTPS / TLS.
  • Las conexiones a la base de datos utilizan canales cifrados con TLS.
  • Las llamadas API a terceros (datos de mercado, correo electrónico) se realizan por HTTPS desde el servidor únicamente, nunca desde el navegador.

Cabeceras de seguridad HTTP

La aplicación establece las siguientes cabeceras de seguridad en cada respuesta:

  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: camera=(), microphone=(), geolocation=()
  • Content-Security-Policyrestringe las fuentes de scripts, bloquea el enmarcado y limita las conexiones a dominios aprobados.

Cifrado de datos

  • En reposotodos los datos se cifran en reposo usando AES-256.
  • En tránsitotodos los datos se cifran mediante TLS 1.2+ durante la transmisión.
  • Credencialeslas contraseñas se hashean con bcrypt. Las claves API y secretos se almacenan como variables de entorno, nunca en el código fuente ni en la base de datos.

Gestion de dependencias

Las dependencias se auditan regularmente. La aplicacion utiliza un arbol de dependencias bloqueado para prevenir ataques de cadena de suministro por actualizaciones de paquetes no verificadas.

Todos los paquetes npm se monitorean continuamente en busca de vulnerabilidades conocidas mediante herramientas de auditoria automatizadas. Los problemas criticos y de alta gravedad se corrigen dentro de las 48 horas posteriores a su divulgacion. Nuestro arbol de dependencias esta bloqueado mediante un archivo de bloqueo de paquetes, lo que garantiza que las compilaciones sean reproducibles e inmunes a ataques de inyeccion en la cadena de suministro.

Divulgacion responsable

Si descubres una vulnerabilidad de seguridad, reportala de forma privada a support@investtracker.app. Tomamos todos los informes en serio y responderemos con prontitud. Para mas detalles sobre como manejamos tus datos, consulta nuestra Politica de Privacidad.

Acusamos recibo de todos los informes de vulnerabilidad dentro de las 48 horas y nos comprometemos a entregar una correccion dentro de los 30 dias. Si necesitas comunicar detalles sensibles, contactanos directamente por correo electronico y te proporcionaremos un canal seguro.

Estandares de la industria

Nuestras practicas de seguridad se basan en marcos de referencia lideres de la industria: