Modelo de seguridad
TraceWall Desktop V3 AI está diseñado con un modelo de seguridad local-first, least-privilege, defense-in-depth . Esta página documenta la arquitectura de confianza, límites y controles.
Principios fundamentales
Principio Implementación Local-first Telemetría, eventos, inventario, topología, briefs ARGUS → SQLite local. Sin backend cloud obligatorio. Least privilege Renderer sin Node; Main con Node; Auxiliares (sensor, ARGUS) procesos hijos aislados. Loopback only para IA ARGUS llama.cpp server bind 127.0.0.1:puerto-aleatorio. Sin exposición LAN/WAN. Solo lectura por defecto Integraciones: APIs read-only. Herramientas ARGUS: read-only. Sin acciones de escritura remota. Credenciales cifradas DPAPI (Win) / libsecret (Lin). Nunca en config.json ni logs. Sin telemetría oculta No usage analytics, no crash reporting automático, no prompt logging externo. Verificable SHA-256 publicado por release. Instalador sin firma EV (SmartScreen warning documentado).
Arquitectura de procesos y límites de confianza
┌─────────────────────────────────────────────────────────────────────┐
└──────────────────────────────┬──────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────┐
│ RENDERER PROCESS (Chromium) │
│ - contextIsolation: true │
│ - nodeIntegration: false │
│ - Acceso SOLO vía contextBridge (preload) → APIs tipadas │
│ - Sin FS, Sin Net, Sin Child Process, Sin Native Modules │
└──────────────────────────────┬──────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────┐
│ MAIN PROCESS (Electron + Node.js) │
│ - Ventana, menú, tray, auto-update, IPC router │
│ - FS acceso: config.json, tracewall.db, logs/, models/ │
│ - Lanza procesos auxiliares (child_process.fork/spawn) │
│ - Gestiona credenciales (DPAPI/libsecret) │
└──────────────────────────────┬──────────────────────────────────────┘
┌────────────────────┼────────────────────┐
┌──────────────────┐ ┌──────────────────┐ ┌──────────────────┐
│ SENSOR COLLECTOR │ │ ARGUS ENGINE │ │ INTEGRATION │
│ (child_process) │ │ (llama.cpp │ │ WORKERS │
│ - Interfaces │ │ server) │ │ (per connector) │
│ - ARP, Rutas │ │ - Loopback │ │ - HTTPS/API │
│ - Procesos │ │ 127.0.0.1 │ │ - SNMP/UDP │
│ - Puertos │ │ - Modelo GGUF │ │ - Syslog/TCP │
│ - Sin red saliente│ │ local only │ │ - Credenciales │
└──────────────────┘ └──────────────────┘ └──────────────────┘
└────────────────────┴────────────────────┘
Tabla de capacidades por proceso
Capacidad Renderer Main Sensor ARGUS Engine Integraciones UI Render ✅ — — — — FS Read/Write (config, DB, logs, models) — ✅ — Model read — Red LAN (sensor, integraciones) — — ✅ (saliente) — ✅ (saliente) Red Loopback (ARGUS) — — — ✅ (127.0.0.1) — Red Internet (opcional) — ✅ (update, model dl, IP detect) — — — Procesos hijos — ✅ (fork/spawn) — — — Módulos Node.js nativos — ✅ ✅ ✅ (llama.cpp) ✅ Credenciales (DPAPI/libsecret) — ✅ (encrypt/decrypt) — — ✅ (decrypt para uso)
Conexiones salientes — Qué, cuándo, control
Función Trigger Destino Datos Control usuario Sensor → Integraciones Polling configurado FW, SIEM, Monitoring APIs Read-only requests Deshabilitar/eliminar integración Exposure: DNS/Web/TLS/Puertos Perfil ejecutado Targets LAN Paquetes sondeo / HTTP req Deshabilitar perfil Exposure: Internet-facing Perfil Internet-facing api.ipify.org (443)Solo IP pública Deshabilitar perfil / custom endpoint ARGUS: Descarga modelo Primera vez si no hay modelo huggingface.co / CDN (443)Pesos GGUF (~4-8 GB) Pre-colocar modelo en models/ Auto-update check Inicio / intervalo download.trace-wall.com (443)Manifest JSON (versión, SHA) Settings → Updates → Off Auto-update download Nueva versión disponible download.trace-wall.com (443)Instalador firmado (si aplica) Settings → Updates → Manual
Nunca se envía: Inventario crudo, eventos, topología, hallazgos, prompts ARGUS, briefs, credenciales, tracewall.db, logs.
Almacenamiento de credenciales
Plataforma API Alcance Rotación Windows CryptProtectData (DPAPI)CRYPTPROTECT_UI_FORBIDDEN + opcional CRYPTPROTECT_LOCAL_MACHINERe-ingresar en Settings → Integraciones Linux libsecret (Secret Service)org.freedesktop.secrets (gnome-keyring, kwallet, keepassxc)Re-ingresar en Settings → Integraciones
config.json guarda solo cred_id (UUID opaco).
Desinstalación no borra credenciales del almacén del sistema (persisten para reinstalación).
Purga manual: Settings → Integraciones → [Eliminar] → borra cred_id + entrada en DPAPI/libsecret.
Permisos del sistema operativo
Recurso Windows Linux Instalación per-user Standard user Standard user (sudo apt install) Instalación system-wide Administrator root via sudoSensor: interfaces, ARP, rutas Standard user Standard user Sensor: procesos (cmdline, open files) otros usuarios Administrator CAP_SYS_PTRACE o rootSensor: puertos (owner PID) Standard user (algunos) / Npcap CAP_NET_ADMIN para ss -tulpn completoSensor: captura paquetes (Exposure) Npcap (WinPcap API) CAP_NET_RAW + CAP_NET_ADMINARGUS: inferencia Standard user Standard user ARGUS: GPU (CUDA) Standard user (driver user-mode) Standard user (nvidia-container-toolkit no req) Loopback bind (ARGUS) Standard user Standard user Escritura %LOCALAPPDATA%\TraceWall / ~/.local/share/tracewall Owner user Owner user
No hay servicio Windows persistente como SYSTEM. Sensor corre en sesión de usuario.
Logs y exportaciones — Riesgos y controles
Dato Riesgo Control Logs (logs/*.log)Pueden contener IPs, hostnames, rutas, mensajes de error Rotación 7d/50MB; nivel defecto INFO; DEBUG solo diagnóstico; export ZIP no incluye credenciales Tracewall.db Inventario completo, eventos, briefs ARGUS Permisos FS owner-only; no cifrado en reposo (opcional: BitLocker / LUKS) Exports CSV/JSON/STIX Fuga de datos operativos Usuario decide qué exportar; no auto-export Modelo GGUF Tamaño grande; no sensible Archivo binario; sin metadata PII
Firma digital y SHA-256
Estado actual Detalle Instalador Windows (.exe) NO firmado comercialmente (sin certificado EV). SmartScreen advertirá. Ver SmartScreen .Paquete Linux (.deb) NO firmado PGP . Verificación por SHA-256 en download page.SHA-256 Publicado en download.trace-wall.com y Changelog por release. Verificación obligatoria Siempre Get-FileHash / sha256sum / certutil antes de instalar.
SmartScreen (Windows)
Escenario Comportamiento esperado Acción correcta Primera ejecución instalador ”Windows protegió tu PC. Editor desconocido.” [Más información] → Verificar checksum → [Ejecutar de todos modos] Ejecución app instalada Sin warning (ya permitió) Normal Nueva versión (auto-update) Puede reaparecer si instalador no firmado Verificar checksum nueva versión → [Ejecutar de todos modos]
No deshabilites SmartScreen, Defender, UAC. La verificación criptográfica reemplaza la confianza.
Buenas prácticas operativas
Práctica Por qué Verificar SHA-256 en cada instaladorIntegridad de cadena de suministro Excluir %LOCALAPPDATA%\TraceWall de AV/EDR escaneo tiempo realEvita locks en SQLite WAL, falsos positivos en modelo GGUF Ejecutar con usuario dedicado (no admin)Least privilege; sensor funciona estándar Firewall outbound deny-by-default + reglas allow específicasControla Exposure Internet-facing, updates, model download Proxy corporativo configurado Updates y model download rutear por proxy; sensor LAN directo Backup periódico tracewall.db + config.json Recuperación ante corrupción / ransomware Rotar credenciales integraciones cada 90 díasLimita ventana de compromiso si secret filtrado Revisar logs integration_*.log semanalmenteDetecta auth failures, rate limits, TLS errors temprano Mantener Npcap actualizado (Win)Compatibilidad, seguridad, performance Drivers NVIDIA + CUDA actualizados (si ARGUS GPU)Estabilidad inferencia, parches CVE GPU
Páginas relacionadas
Procesamiento local — Datos nunca salen salvo acción explícita
Conexiones salientes — Tabla detallada + firewall rules
Loopback — ARGUS motor aislamiento
Credenciales — DPAPI/libsecret, rotación, auditoría
Logs — Qué contienen, retención, exportación segura
Exportaciones — Formatos, PII, control
Permisos — Matriz OS, least privilege
Firma digital — Estado firma, roadmap EV cert
SHA-256 — Verificación, publicación, automatización
SmartScreen — Guía completa, IT deployment
Buenas prácticas — Checklist hardening