La mayoría del almacenamiento en la nube «seguro» cifra tus archivos — con claves que el proveedor también tiene. Es una cerradura cuya copia de la llave está en el bolsillo de otra persona. Esto es lo que significa realmente el conocimiento cero, y cómo construimos una unidad que ni siquiera nosotros podemos abrir.
Abre la página de configuración de casi cualquier unidad en la nube popular y encontrarás la palabra cifrado. Es cierto — tus archivos normalmente sí están cifrados, tanto mientras viajan al servidor como mientras reposan en el disco. Lo que esa página rara vez detalla es la parte que más importa: el proveedor tiene las claves.
Así que sí, tus datos están bajo llave. Pero la empresa que los almacena puede abrirlos en cualquier momento — para analizarlos, indexarlos, cumplir con una solicitud o, en el peor de los casos, porque alguien entró y robó las claves junto con los archivos. Un cifrado donde las claves viven junto a los datos es una cerradura con la copia de la llave pegada a la puerta.
El conocimiento cero es una afirmación precisa, no un adjetivo de marketing. Significa que quienes operan el servicio tienen cero conocimiento de lo que guardas. Tus archivos, e incluso sus nombres, se cifran en tu propio dispositivo antes de subir nada. El servidor recibe texto cifrado — bytes revueltos — y claves que están a su vez cifradas («envueltas»), de modo que el servidor puede almacenarlas pero nunca abrirlas.
La prueba práctica es sencilla. Hazle a cualquier proveedor de almacenamiento una sola pregunta:
«Si pierdo mi contraseña, ¿podéis recuperar mis archivos por mí?»
Si la respuesta es sí, pueden leer tus archivos — punto. Si la respuesta es «no, solo tú puedes», has encontrado conocimiento cero de verdad. La respuesta de Vault Desk es no. No podemos devolverte el acceso a tus datos, porque nunca tuvimos las claves. (Sí recibes una clave de recuperación de un solo uso al registrarte — en tu poder, nunca en el nuestro — para que «solo tú» no tenga que significar «bloqueado fuera para siempre».)
Las promesas de privacidad son baratas. Aquí está la maquinaria bajo la nuestra — toda ella criptografía estándar y bien revisada de libsodium, ejecutándose dentro de un pequeño núcleo que compartimos entre web y móvil para que se comporte igual en todas partes.
Cuando subes algo, tu dispositivo deriva tus claves localmente y cifra cada archivo con XChaCha20-Poly1305 — un cifrado autenticado y moderno — antes de que salga un solo byte. El servidor solo almacena el blob cifrado y una clave envuelta que no tiene forma de desenvolver. Los nombres de archivo también se cifran, así que hasta la estructura de tus carpetas sigue siendo privada.
Iniciar sesión de la forma habitual significa enviar tu contraseña (o un hash de ella) a un servidor y confiar en que la compruebe. Vault Desk usa OPAQUE, un protocolo aPAKE estandarizado como RFC 9807. Permite al servidor confirmar que conoces tu contraseña sin que la contraseña cruce nunca la red. Una brecha de nuestro sistema de inicio de sesión no revela nada que un atacante pudiera usar para acceder como tú — ni para derivar tus claves.
Comparte un archivo y su clave queda sellada a la clave pública del destinatario con X25519, de modo que solo él puede abrirlo; nosotros solo transmitimos bytes sellados. Pero ¿cómo sabes que la clave pública que te entregamos pertenece realmente a tu destinatario, y no es una clave que el servidor sustituyó en silencio? Vault Desk publica las claves en un registro Key Transparency — un libro de solo anexado, a prueba de manipulaciones (árbol de Merkle) que los clientes verifican. Si el servidor llegara a sustituir una clave, la prueba sencillamente no cuadraría, y tu aplicación la rechazaría.
Esto no es una aspiración. El núcleo criptográfico se entrega con 53 pruebas superadas que ejecutan la criptografía real — incluida una comprobación de extremo a extremo de que un blob almacenado no contiene ningún texto sin cifrar, recuperación sobre HTTP real, y una prueba de que una clave de uso compartido sustituida por el servidor se detecta y se rechaza. Las primitivas son deliberadamente aburridas: XChaCha20-Poly1305, X25519, Ed25519, Argon2id.
No tienes que estar ocultando nada para querer una unidad que solo tú puedas abrir. Los archivos que la mayoría guarda en la nube — declaraciones de impuestos, pasaportes, resultados médicos, contratos, fotos de familia, la hoja de cálculo con todos los números de cuenta — son justo los que más daño hacen cuando se filtran. Y se filtran constantemente: por brechas, solicitudes legales demasiado amplias, acceso interno descuidado y análisis silencioso de contenido que nunca aceptaste.
El conocimiento cero cambia el peor desenlace posible. Con Vault Desk, lo máximo que un atacante puede robar de nuestros servidores es un montón de blobs cifrados y claves envueltas — inútiles sin una contraseña que nunca vemos. Diseñamos para el día en que el servidor esté comprometido, para que ese día no revele nada.
Obtienes 5 GB gratis, uso compartido seguro, enlaces públicos y el mismo cifrado total en todos los planes. Funciona hoy en tu navegador, con apps móviles que comparten exactamente el mismo núcleo criptográfico, byte a byte. Crear una caja fuerte cifrada lleva menos de un minuto — y las claves son tuyas desde la primera.
La privacidad que tienes que creer a ciegas no es privacidad. La nuestra puedes comprobarla.
Gratis para empezar, privada por diseño. Tus archivos se cifran antes de salir de tu dispositivo — y solo tú tienes las claves.