¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Keybase

¿Qué hace Keybase?

Keybase es una plataforma de mensajería cifrada de extremo a extremo, compartición de archivos y verificación de identidad adquirida por Zoom en 2020. Ofrece chat (1:1 y grupo), almacenamiento cifrado de archivos (KBFS), repositorios git cifrados y un sistema criptográfico de pruebas de identidad que vincula cuentas con identificadores de redes sociales. Aunque el contenido de los mensajes está cifrado de extremo a extremo, Keybase trata metadatos (remitente, destinatario, marcas de tiempo, IPs, identificadores de dispositivo) en infraestructura estadounidense, lo que lo hace relevante para las evaluaciones de transferencias del RGPD.

Qué es Keybase y cómo funciona

Keybase nació en 2014 como un directorio público que enlazaba claves PGP con identidades sociales verificadas (Twitter, GitHub, sitios web). Evolucionó hasta convertirse en una plataforma completa de comunicaciones cifradas de extremo a extremo con chat, equipos, almacenamiento de archivos cifrado (KBFS), repositorios git cifrados e integración con el monedero Stellar. En 2020, Keybase fue adquirida por Zoom Video Communications para reforzar las capacidades de cifrado E2E de Zoom. El desarrollo activo se ha ralentizado desde entonces, pero el servicio sigue operativo y los clientes open source se mantienen.

Qué datos trata Keybase

Incluso con cifrado de extremo a extremo, Keybase trata metadatos sustanciales: nombre de usuario, correo opcional, claves PGP públicas, pruebas de identidad en plataformas sociales, red de amigos y pertenencia a equipos, identificadores de dispositivo (uno por instalación), IP por sesión, marcas de tiempo de mensajes, tamaños de archivo y recuentos de chat. Las cargas cifradas se almacenan en los servidores de Keybase pero no pueden ser descifradas por Zoom. El cliente web de keybase.io deposita cookies de sesión y CSRF al iniciar sesión.

Implicaciones del RGPD

Keybase trata datos personales de residentes de la UE (nombre de usuario, correo, IP, grafo social) y por tanto está sujeta al RGPD. Como Zoom está establecida en EE. UU., las transferencias a los servidores de Zoom deben abordarse mediante CCT y el Marco de Privacidad de Datos UE, EE. UU. Los metadatos por sí solos pueden considerarse de riesgo bajo, pero revelan patrones de comunicación y vínculos de identidad que pueden ser sensibles en determinados contextos (periodistas, activistas, profesiones reguladas).

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentimiento y base jurídica

Para una persona física que se da de alta en Keybase, la base jurídica es la ejecución del contrato (art. 6(1)(b) RGPD), pues el servicio es solicitado por la persona interesada. Para organizaciones que despliegan Keybase a sus empleados, la ejecución del contrato y el interés legítimo en comunicaciones seguras son bases típicas, con obligaciones de información. Para las cookies del cliente web aplica la ePrivacy y se exige consentimiento para las no estrictamente necesarias.

Transferencias de datos y propiedad de Zoom

Desde 2020 Keybase está operada por Zoom (EE. UU.) con infraestructura en AWS en EE. UU. Esto coloca a Keybase claramente en la categoría de transferencias a EE. UU. Aplican las CCT, Zoom está certificada en el Marco de Privacidad de Datos UE, EE. UU. y el cifrado E2E robusto del contenido de los mensajes ofrece una medida suplementaria sustancial. Realice una EIT si despliega Keybase para casos sensibles.

Pasos prácticos de cumplimiento

Para uso organizativo, firme el DPA de Zoom (que cubre Keybase), documente Keybase en su registro, realice una EIT para transferencias a EE. UU., informe a los usuarios (empleados o miembros), prefiera nombres de dispositivos que no identifiquen al portador, evite usar las pruebas de identidad de Keybase para vincular cuentas personales con identidades profesionales y considere migrar a alternativas desarrolladas activamente si necesita certeza en la hoja de ruta a largo plazo.

GDPR consent category

Esencial

Websites using Keybase must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b) GDPR) for the messaging service; consent (Art. 6(1)(a)) for any marketing communications

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive (Cookie Law) for web client, CCPA

DPIA considerations

Keybase trata nombre de usuario, dirección de correo, claves PGP públicas, pruebas de identidad en redes sociales, red de amigos, pertenencia a equipos, identificadores de dispositivo (uno por instalación), IP por sesión y metadatos del chat (marcas de tiempo, número de mensajes, tamaños de archivo), aunque el contenido está cifrado de extremo a extremo. Consideraciones clave EIPD: (1) desde 2020 Keybase pertenece a Zoom (EE. UU.), heredando la postura de transferencia a EE. UU.; (2) los metadatos pueden revelar grafos sociales y patrones de comunicación incluso sin acceso al contenido; (3) las pruebas de identidad públicas enlazan cuentas con identificadores sociales y son indexables; (4) la eliminación de la cuenta no siempre elimina inmediatamente todos los metadatos del servidor; (5) Keybase ya no se desarrolla activamente y la hoja de ruta a largo plazo es incierta.

Sample consent text

Utilizamos Keybase para comunicaciones cifradas de extremo a extremo. El contenido de los mensajes se cifra en el cliente, pero Keybase (propiedad de Zoom Video Communications, EE. UU.) trata metadatos como su nombre de usuario, su IP y su grafo de contactos en Estados Unidos bajo CCT y el Marco de Privacidad de Datos UE, EE. UU. Puede revocar este acceso en cualquier momento eliminando su cuenta de Keybase.

Technical details

Tracking methodEnd to end encrypted desktop and mobile client; web client at keybase.io

Server locationUnited States (Zoom Video Communications since 2020)

Cookieless tracking availableYes

Data transferred outside the EUKeybase is owned by Zoom Video Communications Inc. (United States) since 2020. Servers are hosted on AWS in the US. End to end encryption protects message content from server side access but metadata (sender, recipient, timestamps, IP addresses, device identifiers) is processed in the US under Standard Contractual Clauses and the EU, US Data Privacy Framework.

Third-party domains contacted

keybase.ioapi.keybase.iokeybaseusercontent.com

Cookies placed

Name	Type	Duration	Purpose
session	Strictly Necessary	Session	Web client session cookie used to maintain authenticated state on keybase.io.
csrf	Strictly Necessary	Session	Cross site request forgery protection token for the keybase.io web interface.

Keybase es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Establece Keybase cookies en los visitantes?

Keybase es principalmente un cliente de escritorio y móvil. La versión web keybase.io deposita cookies de sesión y CSRF en el dominio keybase.io solo para usuarios autenticados, no para visitantes anónimos que consulten perfiles públicos. No hay un widget de seguimiento de terceros para sitios web de clientes.

¿Se requiere consentimiento para usar Keybase?

Para personas físicas que se registran, el consentimiento no es la base; la base jurídica es la ejecución del contrato. Para organizaciones que despliegan Keybase a empleados, aplican el contrato o el interés legítimo y los empleados deben ser informados. El consentimiento de cookies aplica al cliente web keybase.io.

¿Cuál es la base jurídica del tratamiento en Keybase?

Ejecución del contrato (art. 6(1)(b) RGPD) para el servicio de mensajería e interés legítimo (art. 6(1)(f)) para la telemetría de seguridad. Las comunicaciones de marketing de Zoom sobre productos Keybase requerirían consentimiento (art. 6(1)(a)).

¿Transfiere Keybase datos a Estados Unidos?

Sí. Desde que Zoom adquirió Keybase en 2020, toda la infraestructura la opera Zoom en AWS en Estados Unidos. Las transferencias se basan en las Cláusulas Contractuales Tipo y en el Marco de Privacidad de Datos UE, EE. UU., donde Zoom está certificada.

¿Necesito una EIPD para Keybase?

Se recomienda una EIPD siempre que una organización despliegue Keybase, especialmente para casos sensibles (periodismo, sanidad, jurídico, sectores regulados). El cifrado E2E es una medida suplementaria fuerte, pero la transferencia de metadatos a EE. UU. justifica una evaluación documentada según el art. 35 RGPD.

¿Cómo implemento Keybase de forma conforme al RGPD?

Para uso organizativo, firme el DPA de Zoom, documente Keybase en su registro, realice una EIT, informe a los usuarios en la política interna, prefiera nombres de dispositivo no identificativos y considere alternativas E2E basadas en la UE si necesita residencia UE completa.

¿Cuáles son las alternativas a Keybase?

Element (protocolo Matrix, autoalojable en la UE), Threema (Suiza), Signal (sin ánimo de lucro en EE. UU.), Wire (Suiza y Alemania), Olvid (Francia) y Tutanota (Alemania) son alternativas E2E. Para residencia UE completa y certeza en la hoja de ruta, Element con alojamiento UE o Wire son los más comparables.

¿Cómo debería describir Keybase en mi política de privacidad?

Indique que Keybase (Zoom Video Communications Inc., EE. UU.) es el encargado del tratamiento para comunicaciones e identidad, liste las categorías de metadatos tratados (nombre de usuario, correo, IP, grafo de contactos, identificadores de dispositivo, metadatos de mensajes) y aclare que el contenido está cifrado de extremo a extremo, la base jurídica, la retención, el alojamiento en EE. UU. y el mecanismo de transferencia (CCT, Marco de Privacidad de Datos).

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note