Seguridad

Cómo protege Necory lo que le cuentas

Un segundo cerebro solo sirve si puedes confiar en él. Esto es exactamente lo que hacemos — y una cosa que deliberadamente no hacemos, explicada con honestidad.

Cifrado, en tránsito y en reposo

Todo el tráfico entre la app y nuestros servidores usa TLS. Tus datos se almacenan en Google Cloud (Firebase), donde la infraestructura de Google los cifra en reposo. Los archivos subidos viven en Firebase Cloud Storage con las mismas protecciones.

Aislamiento por cuenta, aplicado en el servidor

Cada registro — cada nota, mensaje, archivo, recordatorio y entrada del libro — se almacena bajo tu ID de cuenta, y las reglas de seguridad del servidor hacen imposible que otro usuario lo lea o escriba. Cuando la IA actúa por ti, el servidor limita cada operación a tu cuenta conectada; la IA no puede nombrar otra cuenta aunque lo intentara.

La IA puede actuar, pero no mentir sobre ello

El asistente de Necory es potente, así que lo restringimos estructuralmente:

  • Afirmación = prueba. Si la respuesta dice "guardado" o "eliminado", el servidor verificó que esa acción exacta ocurrió en ese turno.
  • Las cuentas de dinero son solo del servidor. Los saldos se calculan a partir de un libro de solo-añadir en nuestros servidores. La IA registra eventos; nunca calcula ni afirma un saldo por su cuenta.
  • Los borrados pasan por una puerta de confirmación. El borrado masivo lo ejecuta el servidor solo tras tu confirmación explícita — el modelo no puede consumarlo solo.
  • Todo lo que guardaste se trata como datos, no instrucciones. El texto dentro de tus archivos, imágenes y notas no puede reprogramar al asistente.

Seguridad del inicio de sesión

  • Los códigos de un solo uso por correo (inicio de sesión y restablecimiento de contraseña) se generan con un generador criptográficamente seguro, se guardan solo como hashes SHA-256, valen 10 minutos, se usan una vez y tienen límites contra fuerza bruta. Los códigos de acceso por teléfono los entrega y verifica Firebase Authentication — nunca los vemos ni los almacenamos.
  • Al establecer una contraseña, la comprobamos contra bases de datos de filtraciones conocidas con la API de rango de Have I Been Pwned — solo salen de nuestros servidores los primeros cinco caracteres de un hash, nunca tu contraseña.
  • Los inicios con Google y Apple usan los flujos estándar de cada plataforma con verificación de nonce en el servidor.
  • Puedes exigir Face ID / biometría para abrir la app. La biometría se verifica íntegramente en tu dispositivo y nunca se nos envía.

Integridad de la app

Las compilaciones de producción certifican su integridad con Firebase App Check (Play Integrity en Android, App Attest en iOS), de modo que nuestro backend solo responde a copias genuinas y sin modificar de la app.

Lo que deliberadamente no hacemos — y por qué

Necory no tiene cifrado de extremo a extremo. El asistente tiene que leer tu contenido para responderte — ese es el producto. Tus datos van cifrados en tránsito y en reposo, y aislados a tu cuenta, pero nuestros sistemas (y los modelos de IA que usamos) los procesan en forma legible. Si necesitas contenido que ningún servicio pueda leer jamás, una app de notas E2E es la herramienta correcta para ese contenido. Preferimos decirlo claro antes que insinuar lo contrario.

Tus controles

  • Exporta tu bóveda completa como archivo descargable desde Ajustes, en cualquier plan.
  • Elimina elementos individuales (papelera de 30 días), conversaciones enteras, todos los datos o la cuenta completa — permanentemente, con una ventana de recuperación de 30 días.
  • Revisa la memoria de la IA: cada observación aprendida está listada en Ajustes, donde puedes confirmarla, descartarla o bloquearla.

Reportar una vulnerabilidad

Si crees haber encontrado un problema de seguridad en Necory, escribe a support@necory.com con los detalles. Leemos cada reporte y responderemos lo antes posible. Por favor, no accedas a datos de otros usuarios durante tu investigación.