THREAT MODEL
CUVEX
Un threat model define qué amenazas se consideran relevantes, cuáles se mitigan explícitamente y cuáles quedan fuera del alcance del sistema.
Cuvex no intenta proteger contra todo. Está diseñado para mitigar un conjunto concreto de amenazas reales en autocustodia, mediante decisiones de arquitectura verificables. Esta página describe, de forma explícita y honesta, el modelo de amenazas de Cuvex.
PRINCIPIO FUNDAMENTAL
La mayoría de incidentes en autocustodia no ocurren por criptografía rota, sino por mal diseño de arquitectura, fuga de metadatos y exceso de confianza en software conectado.
Cuvex aborda este problema desde el diseño.
ACTIVOS PROTEGIDOS
Cuvex está diseñado para proteger:
- Frases semilla (BIP-39 y equivalentes)
- Material de firma derivado
- Integridad del proceso de firma
- Privacidad de la actividad financiera (metadatos)
Cuvex no custodia fondos ni interactúa directamente con la red.
AMENAZAS CUBIERTAS
1. Ataques remotos
Amenaza
- Malware en PC o smartphone
- Apps comprometidas
- Backdoors en software de gestión,
Mitigación en Cuvex
- Firma completamente offline
- Arquitectura Watch-Only
- PSBT como interfaz de datos
- Doble AirGap entre preparación y firma
2. Fuga y correlación de metadatos
Amenaza
- Correlación de saldos
- Exposición de XPUBs
- Vinculación IP ↔ actividad
Mitigación en Cuvex
- Sin backend
- Sin auditoría de saldos
- Sin cuentas ni identidad
- Endpoints controlados por el usuario
3. Ataques físicos al dispositivo
Amenaza
- Acceso físico al hardware
- Extracción de memoria
- Ataques post-uso,
Mitigación en Cuvex
- No persistencia de secretos
- Memoria volátil
- Borrado automático tras cada operación
- Separación del secreto (criptogramas externos)
4. Ataques de supply chain
Amenaza
- Dispositivos manipulados
- Firmware alterado o sustituido
- Instalación de firmware
malicioso durante fabricación, distribución o actualización
Mitigación en Cuvex
- Bootloader seguro que verifica criptográficamente la firma RSA del firmware antes de permitir su instalación o ejecución.
- Rechazo automático de cualquier firmware no firmado o alterado
- Arquitectura que no confía en estado persistente
- Verificación humana obligatoria durante procesos críticos
- Dependencia mínima del firmware para la custodia de secretos
5. Errores humanos
Amenaza
- Firmas no comprendidas
- Confirmaciones automáticas
- Uso incorrecto de software
Mitigación en Cuvex
- Firma como acto consciente
- Verificación visual en pantalla
- Separación clara de roles
AMENAZAS FUERA DE ALCANCE
Cuvex no pretende mitigar:
- Coerción física directa al usuario
- Compromiso del entorno físico
- Ataques legales o regulatorios
- Pérdida voluntaria de secretos
Estos riesgos requieren medidas operativas adicionales.
COMPARACIÓN CONCEPTUAL DE MODELOS
RELACIÓN CON LA ARQUITECTURA
El threat model de Cuvex se materializa en:
- Dispositivo de Firma Soberana
Cada decisión técnica responde a una amenaza concreta.
TRANSPARENCY
Cuvex publica su threat model para:
- Permitir auditoría independiente
- Evitar promesas vagas
- Facilitar decisiones informadas
La seguridad no se basa en confianza, sino en diseño verificable.