Deja de enviar archivos .env por correo: una guía práctica de bóvedas cifradas

Las cuatro rutas de filtración más comunes:

• DMs de Slack — onboarding, entregas rápidas. El índice de búsqueda los guarda para siempre. • Páginas de Notion/Confluence — alguien hizo una página 'dev setup' en 2022 con valores de producción. • Colecciones Postman en texto plano — compartidas vía workspace, incluyendo tokens activos. • Archivos .env commiteados — `git rm` los quita de HEAD pero viven en el historial.

Ninguno involucra a un insider malicioso. Todos son atajos de workflow que se vuelven artefactos permanentes.

Antes de elegir una herramienta, nombra las amenazas:

• Un junior que deja la empresa y aún tiene su export de Slack en su laptop. • Un contratista que tuvo un día de acceso a tu Notion y guardó un respaldo Markdown. • Una laptop de desarrollador comprometida donde un infostealer absorbió todos los secretos en texto plano.

Las bóvedas cifradas manejan todos estos igual: el secreto nunca está en reposo en texto plano, así que un ciphertext exfiltrado es inútil sin la llave de la bóveda.

EnvVault usa Fernet (AES-128-CBC con HMAC-SHA256) para cifrado de secretos. No es el cipher suite más exótico, y ese es el punto. Fernet está estandarizado, ampliamente auditado e imposible de mal usar en formas que produzcan salida insegura.

Crítico: la bóveda usa un `ENVVAULT_ENCRYPTION_KEY` dedicado, no el secreto de firma JWT de la aplicación. Compartirlos es un error común: si un atacante falsifica un JWT, también descifra cada secreto.

Una bóveda para 'todo' es la forma equivocada. Un secreto de producción tiene necesidades de acceso fundamentalmente distintas a un secreto de desarrollo.

Estructura tus bóvedas como:

• Producción — leída solo por senior on-call, log de auditoría en cada acceso. • Staging — leída por cualquier ingeniero, escrita solo por el lead. • Desarrollo — todos pueden leer y escribir.

La separación no es solo de permisos — es de radio de explosión.

La capacidad operativa más importante que una bóveda necesita es rotación de llave sin romper la aplicación en ejecución. El procedimiento:

1. Generar una nueva llave. Agregarla a la bóveda como `current`. 2. Mantener la llave vieja como `legacy`. 3. Correr un pase de re-cifrado: para cada secreto, descifrar con `legacy`, cifrar con `current`. 4. Una vez completo, quitar `legacy`.

Con una ventana de doble llave, ninguna petición falla por una rotación.