Seguridad y transparencia
Última actualización: 3 de mayo de 2026
1. Quiénes somos y por qué existimos
TruSent es una plataforma de seguridad digital colaborativa pensada específicamente para Latinoamérica. Nacimos porque las soluciones globales (Norton, Aura, Malwarebytes) no cubren los patrones de estafa locales: suplantación de bancos LATAM, fraudes en Mercado Libre, scams de AFIP/SAT/DIAN, y la mensajería predominante por WhatsApp.
Nuestra misión es simple: que cualquier persona pueda verificar un link sospechoso en menos de 5 segundos antes de hacer click, sin necesidad de saber nada técnico.
2. Cómo está construido TruSent
Creemos en la transparencia. Acá está el stack técnico real que corre TruSent en producción:
| Capa | Tecnología | Función |
|---|---|---|
| API | FastAPI + Python 3.12 | Lógica de negocio, autenticación, endpoints REST |
| Base de datos | PostgreSQL 16 | Cuentas, suscripciones, alertas, historial de checks |
| Cache + colas | Redis | Rate limiting, revocación de tokens, cache de feeds |
| Tareas async | Celery | Ingest de feeds de amenazas, scanning de dominios, retraining ML |
| ML | scikit-learn | Clasificador de phishing entrenado con miles de URLs etiquetadas |
| CDN + tunnel | Cloudflare | DDoS protection, WAF, TLS |
| Email transaccional | Resend | Verificaciones, alertas, recuperación de contraseña |
| Pagos | Stripe + MercadoPago | Suscripciones internacionales y LATAM |
| Error tracking | Sentry | Alertas de errores en producción |
3. Cómo escaneamos un link
Cuando enviás un link a TruSent, lo cruzamos contra varias capas en paralelo:
- Feeds de amenazas: PhishTank, OpenPhish, URLhaus, Google Safe Browsing — actualizados cada hora.
- Análisis del dominio: edad del dominio (WHOIS), registrar, DNS, similitud tipográfica con marcas conocidas (typosquatting).
- Análisis del contenido: HTML, formularios sospechosos, redirecciones a dominios distintos.
- Modelo ML: clasificador entrenado con miles de URLs phishing etiquetadas, retrained semanalmente.
- Reportes de la comunidad: cada usuario puede reportar URLs sospechosas; reportes validados refuerzan el dataset.
El resultado es un risk score 0-100 con explicación en lenguaje claro de por qué es seguro o peligroso.
4. Cómo protegemos tu cuenta
- Passwords con HIBP k-anonymity: rechazamos passwords que aparecen en filtraciones públicas (consultando HIBP de forma que tu password nunca sale de nuestro servidor).
- Hashing con bcrypt: tus passwords se almacenan con hash bcrypt + salt, nunca en claro.
- Account lockout: 5 intentos de login fallidos en 15 minutos te bloquea por 30 minutos.
- Email verification obligatorio: no podés iniciar sesión sin verificar tu email.
- JWT con revocación: cuando hacés logout, el token queda invalidado de inmediato (no esperás a que expire).
- HTTPS forzado, HSTS, CSP estricto: configuración de cabeceras siguiendo las mejores prácticas OWASP.
- Rate limiting distribuido: límites compartidos entre workers vía Redis para prevenir bypass.
5. Política de divulgación responsable
Si descubriste una vulnerabilidad en TruSent, te pedimos que nos la reportes antes de hacerla pública. Así podemos arreglarla y proteger a nuestros usuarios.
Cómo reportar
- Email: security@trusent.app
- Incluí: descripción, pasos para reproducir, impacto estimado, tu nombre/handle si querés crédito.
- Si la vulnerabilidad es crítica (RCE, account takeover, exposición masiva de datos), marcá el subject con
[CRITICAL].
Nuestro compromiso
- Te respondemos dentro de las 72 horas.
- Mantenemos comunicación abierta hasta resolverlo.
- Te avisamos cuando esté arreglado y, si lo permitís, te damos crédito público.
- No iniciamos acción legal contra investigadores que reporten responsablemente.
Qué evitar
- No accedas, modifiques o exfiltres datos de otros usuarios.
- No corras pruebas de DoS / stress testing contra producción.
- No publiques la vulnerabilidad antes de coordinar con nosotros (90 días desde el primer contacto es razonable).
Hall of Fame
Próximamente: lista pública de investigadores que ayudaron a hacer TruSent más seguro.
6. Contacto
- Vulnerabilidades de seguridad: security@trusent.app
- Privacidad y datos personales: privacidad@trusent.app
- Soporte general: soporte@trusent.app
/.well-known/security.txtpublicado según RFC 9116.