Detalles técnicos de seguridad

Soportamos múltiples métodos de autenticación, todos con segundo factor opcional:

• Email + contraseña con PBKDF2-SHA256 a 600.000 iteraciones
• TOTP RFC 6238 (Google Authenticator, Authy, 1Password) con 10 códigos de respaldo de un solo uso
• Passkeys WebAuthn / FIDO2 con biometría — bypass automático de TOTP por su naturaleza resistente al phishing
• Google, Apple Sign In y Facebook Login (con verificación criptográfica de tokens)

Los JWT se firman con HMAC-SHA256 y soportan rotación de clave (KID en el header). Los secretos de TOTP se cifran con AES-256-GCM derivado por HKDF, separados de la clave JWT. Las contraseñas se hashean con PBKDF2-SHA256 a 600.000 iteraciones — el doble de la recomendación OWASP 2023.

Cada refresh token se vincula a un device fingerprint (IP + User-Agent). Los tokens rotan en cada uso (rotación de un solo uso). Mantenemos un índice por usuario para que podás listar y revocar sesiones activas individualmente o todas a la vez.

Acciones registradas: login, logout, cambio de contraseña, alta/baja de 2FA, regeneración de códigos de respaldo, alta/baja de passkeys, modificación de cuenta por admin, impersonación. Cada entrada incluye IP, user agent, timestamp y metadata específica de la acción.

Si detectamos un incidente que afecte tu cuenta, te notificamos por email dentro de las 72 horas y publicamos un postmortem dentro de 30 días. Reset masivo de sesiones disponible vía soporte.