Priviy
cloud-chiffre-comparisonINFO

¿Es Box seguro en 2026? Respuesta honesta y alternativas privadas

¿Es Box seguro? Cifra los archivos en tránsito y en reposo, añade sólidos controles de empresa (KeySafe, Shield, SSO) y mucho cumplimiento - sólido frente a terceros. Pero por defecto no es zero-knowledge: Box tiene las claves y está bajo jurisdicción de EE. UU. Qué significa y cómo hacer tus archivos realmente privados.

Por Eric Gerard · Editor · Priviy3 min de lecturaPhoto: Pexels

Probablemente hayas visto Box en el trabajo: es uno de los grandes nombres de la gestión de contenido en la nube para empresas, pensado en torno a la colaboración, los flujos de trabajo y el control de administración. Pero «usado por grandes empresas» no es lo mismo que «privado», así que la pregunta real es: ¿es Box realmente seguro, y seguro frente a quién? Esta guía da una respuesta honesta y muestra cómo hacer tus archivos verdaderamente privados.

Lo que Box sí protege

Box se toma en serio la seguridad de base, y frente a amenazas externas es sólido.

  • Cifrado en tránsito y en reposo - los archivos viajan por TLS y se almacenan cifrados con AES-256 en los servidores de Box.
  • Doble factor y SSO - Box admite 2FA y el inicio de sesión único empresarial (SAML), lo que dificulta mucho el secuestro de cuentas.
  • Controles de administración granulares - los administradores fijan permisos de carpetas, enlaces compartidos con caducidad, confianza de dispositivos y políticas de acceso muy precisas.
  • Mucho cumplimiento - Box luce certificaciones como HIPAA, FedRAMP, PCI DSS, ISO 27001 y alineación con el RGPD, una gran razón de su adopción en sectores regulados.

Un portátil sobre una mesa mostrando un icono de candado sobre un mapa del mundo con la etiqueta «Secured» - una interfaz tranquilizadora, pero la pregunta real es quién tiene las claves de cifrado.
Un portátil sobre una mesa mostrando un icono de candado sobre un mapa del mundo con la etiqueta «Secured» - una interfaz tranquilizadora, pero la pregunta real es quién tiene las claves de cifrado.

Los extras de empresa: KeySafe y Shield

Dos complementos de pago llevan a Box más lejos que la mayoría de los clouds de consumo. Box KeySafe permite a una organización gestionar sus propias claves de cifrado (respaldadas por un servicio de gestión de claves) y obtener un registro de auditoría de cada uso de clave - útil para el cumplimiento y para revocar accesos. Box Shield añade detección de amenazas, alertas de anomalías y controles de acceso por clasificación. Son verdaderas ventajas de empresa.

El matiz de privacidad: Box no es zero-knowledge

Aquí está el límite honesto. Por defecto, Box tiene las claves de cifrado. Eso es lo que permite la búsqueda, las vistas previas, el uso compartido y la recuperación por el administrador - pero también significa que Box puede leer técnicamente tu contenido y, como empresa estadounidense, puede verse obligado a entregar datos legibles bajo leyes como la CLOUD Act. «Cifrado» aquí significa cifrado frente a terceros, no frente al proveedor.

Ni siquiera KeySafe hace que Box sea zero-knowledge: las claves siguen usándose para procesar tus archivos del lado de Box. Eso es distinto del cifrado del lado del cliente, zero-knowledge, donde el proveedor solo ve texto cifrado y nunca tiene una clave utilizable.

Cómo hacer que los archivos en Box sean realmente privados

Si quieres archivos que nadie más que tú pueda abrir, mantén la clave en tu dispositivo:

  • Cifra antes de subir con una herramienta gratuita y de código abierto como Cryptomator. Crea una bóveda cifrada dentro de tu carpeta de Box: solo se sube texto cifrado y solo tú tienes la contraseña.
  • Usa un proveedor zero-knowledge para tus datos más sensibles, donde el cifrado del lado del cliente sea lo predeterminado y no un complemento.
Choix éditorial
4.5 / 5

¿Prefieres zero-knowledge? pCloud + Crypto

Jurisdicción suiza · Cifrado del lado del cliente con el complemento Crypto · Planes de por vida

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB
Voir l'offre

En resumen

Box es una plataforma realmente segura y lista para el cumplimiento, hecha para la colaboración empresarial, y frente a atacantes externos aguanta bien. Lo que no es, por defecto, es privado frente al propio Box: el proveedor tiene las claves y responde a la jurisdicción de EE. UU. Si eso importa para un archivo concreto, cífralo del lado del cliente antes de que llegue a Box, o guárdalo en un servicio zero-knowledge - entonces «seguro» y «privado» por fin significan lo mismo.

Preguntas frecuentes

¿Es Box seguro?
Frente a atacantes externos, sí: Box es uno de los clouds de consumo más seguros. Cifra los archivos en tránsito (TLS) y en reposo (AES-256), admite doble factor y SSO, ofrece permisos de administración granulares y luce fuertes certificaciones (HIPAA, FedRAMP, ISO 27001, RGPD). El matiz es que esto es «seguro frente a terceros», no «privado frente a Box». Por defecto Box tiene las claves de cifrado, así que técnicamente puede acceder a tu contenido y puede verse obligado a entregar datos legibles bajo la ley de EE. UU. Para la colaboración empresarial es sólido; para datos que solo tú debes poder leer, no es zero-knowledge.
¿Usa Box cifrado de extremo a extremo?
No, no por defecto. Box cifra los datos en tránsito y en reposo, y Box gestiona esas claves, así que el modelo es cifrado del lado del servidor, no de extremo a extremo. Eso protege contra la interceptación y el robo de discos, pero como Box tiene las claves, él (y quien lo obligue legalmente) puede acceder al contenido. El verdadero cifrado de extremo a extremo o zero-knowledge, donde solo tú tienes la clave, no es lo predeterminado de Box. Puedes añadirlo cifrando tus archivos localmente antes de subirlos.
¿Es Box zero-knowledge?
No. Incluso con su complemento de gestión de claves para empresas (KeySafe), las claves se usan para procesar tu contenido del lado de Box, así que Box no es un servicio zero-knowledge como pCloud Crypto, Tresorit o una bóveda de Cryptomator. KeySafe da a una organización más control y un registro de auditoría sobre el uso de las claves, algo valioso para el cumplimiento, pero no es lo mismo que el cifrado del lado del cliente, donde el proveedor nunca ve una clave utilizable ni tu contenido en claro.
¿Cumple Box con HIPAA y RGPD?
Box se usa mucho en sectores regulados y admite el cumplimiento de marcos como HIPAA, FedRAMP, PCI DSS, ISO 27001 y el RGPD, y firma un acuerdo de encargado de tratamiento (BAA) para clientes sanitarios. Pero «listo para el cumplimiento» no es «privado por diseño»: esos marcos rigen cómo se tratan y protegen los datos, no si el proveedor puede leerlos. Box puede, salvo que cifres del lado del cliente primero.
¿Cómo hago que los archivos en Box sean realmente privados?
Cífralos tú antes de que lleguen a Box. Una herramienta gratuita y de código abierto como Cryptomator crea una bóveda cifrada dentro de tu carpeta de Box: solo se sube texto cifrado y solo tú tienes la clave. Otra opción, para datos realmente sensibles, es un proveedor zero-knowledge cuyo cifrado del lado del cliente sea lo predeterminado. En ambos casos la meta es la misma: que la clave nunca salga de tu control.
Choix éditorial
4.5 / 5

Almacenamiento cloud cifrado → pCloud

Con sede en Suiza · complemento Crypto del lado del cliente · planes de por vida

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB
Voir l'offre