Ir al contenido

Cómo funciona

Cuando comparte una contraseña por email o Slack, permanece legible para todos los intermediarios. Secret Drop garantiza un intercambio seguro de sus datos confidenciales: todo se cifra en su navegador antes de salir de su pantalla. El servidor solo recibe ruido.

Cómo se protege su secreto

  1. Escribes tu secreto

    Introduces tu mensaje o seleccionas un archivo en tu navegador.

  2. Cifrado en tu navegador

    Tu navegador genera una clave aleatoria y cifra el contenido localmente con AES-256-GCM a través de la Web Crypto API. El servidor solo recibe datos cifrados.

  3. El servidor almacena el cifrado

    El servidor solo almacena datos cifrados. No puede descifrarlos porque nunca tiene acceso a la clave.

  4. La clave permanece en la URL

    La clave de descifrado se coloca en el fragmento de la URL (después de #). Esta parte nunca es enviada al servidor por el navegador.

  5. El destinatario descifra

    Cuando el destinatario abre el enlace, su navegador obtiene los datos cifrados y usa la clave de la URL para descifrar localmente.

  6. El secreto se destruye

    Una vez alcanzado el límite de lecturas o pasada la expiración, el contenido cifrado se elimina permanentemente del servidor. Solo queda un rastro de su existencia — no hay nada que descifrar.

Secure by design

La seguridad no es una función añadida — es la base de cada decisión arquitectónica.

Conocimiento cero

El servidor nunca recibe la clave de cifrado — siguiendo los principios de almacenamiento criptográfico OWASP. Incluso si la base de datos es comprometida, un atacante solo obtiene ruido inútil. No es una promesa — es una imposibilidad matemática.

Autenticación sin contraseña

Un magic link de un solo uso reemplaza la contraseña. Nada que robar, filtrar o forzar. Una base de datos comprometida no revela credenciales, porque no existen.

La clave nunca sale de su dispositivo

La clave de descifrado vive en el fragmento de la URL (después del #). Por diseño del protocolo HTTP, esta parte nunca se envía al servidor — ni en solicitudes, ni en logs, en ningún lugar.

Destrucción definitiva

Un secreto leído deja de existir. El contenido cifrado se elimina del servidor — solo queda un rastro de su existencia. La expiración y los límites de lectura reducen la ventana de exposición al mínimo estricto.

Alojado en Francia

Infraestructura alojada en Francia, bajo jurisdicción de la Unión Europea. Sus datos están protegidos por el RGPD y nunca salen de la UE. Sin transferencia a terceros países, sin excepción.

Sin rastreo

Sin cookies de terceros, sin píxeles de seguimiento, sin servicios externos. Ningún dato se comparte con terceros. Su actividad en este sitio no es perfilada, vendida ni monetizada.

Crear un secreto seguro
Descubrir casos de uso →