Seguridad y privacidad

Sin cuentas, sin inicios de sesión

encrypt.click no tiene cuentas de usuario, inicios de sesión ni perfiles. No necesitas registrarte ni proporcionar información personal para usar las herramientas.

Herramientas 100% en el cliente

Todas las operaciones criptográficas se realizan en tu navegador usando la Web Crypto API y otras API locales. Para las herramientas principales, las entradas (texto, archivos, contraseñas, claves) nunca se envían a ningún backend controlado por encrypt.click.

Para la herramienta Dead Drop específicamente: la carga se comprime y cifra localmente y se almacena en el fragmento de la URL (la parte después de #). Los fragmentos de URL no se envían a los servidores de encrypt.click durante las solicitudes normales de página.

Algunas herramientas pueden obtener datos públicos o aleatoriedad de API de terceros que tú invocas explícitamente (por ejemplo, la baliza de aleatoriedad drand para la Cápsula del Tiempo). Estas llamadas nunca incluyen tus secretos o contraseñas en texto plano.

Acortamiento opcional de URL

Si eliges acortar un enlace (por ejemplo, desde la página Dead Drop), tu navegador llama a /api/shorten en encrypt.click. El backend de encrypt.click luego hace una solicitud del lado del servidor al acortador que seleccionaste.

El acortador recibirá la URL completa que estás acortando. Para enlaces Dead Drop, eso incluye el fragmento de URL que contiene la carga cifrada. La carga está cifrada, pero aún puede ser un identificador único y puede considerarse metadatos sensibles. Si quieres máxima privacidad, no uses acortadores de terceros para enlaces Dead Drop.

Cuando compartes un enlace acortado de encrypt.click, la URL que compartes sigue estando en el dominio de encrypt.click. Cuando alguien hace clic, su navegador se comunica primero con encrypt.click. encrypt.click luego contacta al acortador en su nombre y sigue la redirección del lado del servidor antes de redirigir al visitante de vuelta a una URL de encrypt.click. Este diseño significa que el acortador ve solicitudes de la infraestructura de encrypt.click, no directamente de la IP del visitante, aunque el acortador aún puede registrar que se usó un enlace cifrado dado.

Cookies y almacenamiento local

El sitio no establece cookies de seguimiento o analítica, y no usa rastreadores de terceros ni píxeles publicitarios. Tu navegador puede usar localStorage solo para recordar tu preferencia de tema claro/oscuro. Este valor no contiene datos personales.

Cloudflare (nuestro proveedor de alojamiento) puede establecer cookies para seguridad y prevención de abuso según los patrones de tráfico y la configuración de tu navegador, bajo las propias políticas de Cloudflare.

Seguridad de red y transporte

• Todo el tráfico se sirve sobre HTTPS con configuración TLS moderna.
• HTTP Strict Transport Security (HSTS) está habilitado con includeSubDomains; preload.
• Content Security Policy (CSP) restringe scripts, estilos, fuentes y conexiones solo a orígenes de confianza.
• El enmarcado está deshabilitado mediante frame-ancestors 'none' y X-Frame-Options: DENY.

Infraestructura de terceros

encrypt.click está alojado en Cloudflare Pages. Cloudflare, como proxy inverso y CDN, puede registrar metadatos HTTP estándar (como dirección IP y agente de usuario) para fines de seguridad y operación, según su propia política de privacidad.

La aplicación en sí no mantiene sus propios registros del lado del servidor de las entradas de tus herramientas. Para la prevención de abuso, encrypt.click aplica limitación de tasa en los endpoints de la API (como el proxy drand y el acortador de URL). La limitación de tasa usa un hash unidireccional de tu dirección IP (SHA-256 con sal, truncado) almacenado solo en memoria durante una ventana corta (aproximadamente 60 segundos) y no se escribe en una base de datos por la aplicación.

Divulgación responsable

Si crees que has encontrado un problema de seguridad o privacidad en encrypt.click, por favor contacta a security@encrypt.click. Incluye suficiente detalle para reproducir el problema y evita pruebas que puedan afectar a otros usuarios.

Resumen no legal

Esta página es un resumen legible sobre cómo encrypt.click está diseñado para manejar tus datos. No es un contrato ni un documento completo de términos de uso. Al usar el sitio, aceptas que no se puede garantizar una seguridad perfecta y que usas las herramientas bajo tu propio riesgo.