🎯 Objetivos de aprendizaje
- Describir el modelo de cifrado de Box (AES-256 + TLS).
- Explicar los componentes de Box Shield: Threat Detection, Smart Access y Classification.
- Usar Box Governance para retención, Legal Hold y eDiscovery.
- Entender cuándo y cómo usar Box KeySafe.
- Identificar las principales certificaciones: HIPAA, GDPR, FedRAMP, ISO 27001, SOC 2.
1. Arquitectura de cifrado
Box implementa un modelo de cifrado en múltiples capas que protege el contenido tanto en reposo como en tránsito.
Cifrado en reposo (At Rest)
Todos los archivos almacenados en Box están cifrados con AES-256. Cada archivo tiene su propia clave de cifrado única, cifrada a su vez con claves maestras (modelo de claves en capas). Si un archivo individual fuera comprometido, el resto permanece protegido.
Cifrado en tránsito (In Transit)
Toda comunicación entre cliente y servidores de Box usa TLS 1.2 o superior. Esto protege los datos mientras se suben, descargan o sincronizan.
Modelos de gestión de claves
| Modelo | ¿Quién gestiona las claves? | Nivel de control |
|---|---|---|
| Box Managed Keys | Box gestiona todo automáticamente | Estándar — suficiente para la mayoría |
| Box KeySafe | El cliente usa AWS KMS o Azure Key Vault | Alto — BYOK |
| KeySafe on-premises | El cliente usa su propio HSM | Máximo — soberanía total |
2. Box Shield — Seguridad inteligente
Box Shield es la capa de seguridad avanzada de Box, combinando IA con controles de acceso para detectar amenazas y proteger datos sensibles en tiempo real.
Componentes de Box Shield
Threat Detection
Detecta comportamientos anómalos: descargas masivas, ransomware, acceso desde ubicaciones inusuales.
Smart Access
Políticas automáticas basadas en clasificación del contenido. Restringe acceso según etiqueta.
Classification
Etiquetado de archivos por nivel de sensibilidad: Confidencial, Interno, Público.
Alerts
Notificaciones en tiempo real de actividad sospechosa. Integrable con SIEMs.
Tipos de amenazas que detecta Box Shield
| Amenaza | Señal detectada |
|---|---|
| Descarga masiva | Usuario descarga volumen anormalmente alto en poco tiempo. |
| Ransomware | Patrones de cifrado/modificación masiva típicos de ransomware. |
| Acceso inusual | Login desde país o región donde el usuario nunca ha accedido. |
| Exfiltración | Compartición masiva de archivos con dominios externos o personales. |
| Acceso a contenido sensible | Usuario sin historial previo accede a archivos clasificados. |
Smart Access: ejemplo de política
- Archivos etiquetados "Confidencial" → no descargables en dispositivos no administrados.
- Archivos "Altamente Restringido" → no se pueden compartir externamente bajo ninguna circunstancia.
- Archivos "Internos" → solo compartibles dentro de la empresa, sin link público.
3. Box Governance — Ciclo de vida del contenido
Box Governance gestiona el ciclo de vida del contenido empresarial: cuánto tiempo se conserva, cuándo se elimina y cómo se maneja ante requerimientos legales.
Políticas de retención
| Tipo | Comportamiento |
|---|---|
| Finite Retention | Contenido conservado durante período definido (ej: 7 años) y luego eliminado o archivado. |
| Indefinite Retention | Conservado indefinidamente hasta que el admin lo elimina manualmente. |
Legal Hold (Retención Legal)
Un Legal Hold impide eliminar cualquier archivo o carpeta durante una investigación legal. Tiene prioridad absoluta sobre las políticas de retención. Los usuarios no pueden eliminar contenido bajo Legal Hold aunque sean propietarios.
eDiscovery
Capacidades para procesos legales y auditorías:
- Búsqueda full-text en todo el contenido de la empresa.
- Filtrado por usuario, fecha, tipo y metadatos.
- Exportación en formatos legales estándar con cadena de custodia documentada.
4. Box KeySafe — Tus propias claves de cifrado
Box KeySafe permite gestionar tus propias claves de cifrado. Box nunca tiene acceso a tus claves — cada acceso a un archivo requiere autorización de tu sistema de gestión de claves (AWS KMS, Azure Key Vault o HSM propio).
¿Cuándo usar KeySafe?
Organizaciones con requisitos extremos de seguridad: agencias gubernamentales, bancos centrales, sector de defensa, o empresas con regulaciones de soberanía de datos que prohíben que terceros (incluyendo el proveedor cloud) accedan al contenido.
5. Certificaciones de cumplimiento normativo
HIPAA
Salud en EE.UU. Box firma BAA (Business Associate Agreement) para organizaciones de salud.
GDPR
Protección de datos de ciudadanos europeos. Box cumple como procesador de datos.
FedRAMP High
Certificación federal EE.UU. para agencias con datos confidenciales del gobierno.
ISO 27001
Estándar internacional de gestión de seguridad de la información. Auditado por terceros.
SOC 2 Type II
Auditoría independiente de controles de seguridad, disponibilidad y confidencialidad.
PCI DSS
Para organizaciones que procesan datos de tarjetas de crédito.
6. Mejores prácticas de seguridad
- Activar SSO + 2FA para todos los usuarios.
- Usar grupos en lugar de usuarios individuales para permisos.
- Configurar políticas de retención desde el primer día en sectores regulados.
- Implementar Box Shield y configurar alertas de actividad sospechosa.
- Revisar periódicamente los reportes de compartición externa.
- Establecer y entrenar a usuarios sobre la política de clasificación de contenido.
- Configurar custom terms of service para usuarios externos.
- Implementar Legal Hold inmediatamente cuando se anticipe un litigio.