9 Commits

Author SHA1 Message Date
markosbenitez
4be7bf13c3 fix: UV_NO_CACHE=1 para evitar error de permisos al arrancar como UID 1000 2026-05-28 22:52:17 -03:00
markosbenitez
ec751e5414 docs: DEPLOY.md adaptado al estado real del servidor
Versión para VPS donde Docker, Nginx y usuario pedrito ya existen.
Elimina: instalación de Docker, Nginx, creación de usuario, configuración DNS.
Agrega: tabla de estado inicial, nota sobre docker-compose v1 vs v2.
De 20 secciones (60-90 min) a 17 secciones (30-45 min).

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-28 19:48:29 -03:00
markosbenitez
9c60972bcd prompt sprint 4 2026-05-28 01:12:25 -03:00
markosbenitez
f3fd871874 feat: F5 — frases libres mapeadas a comandos sin LLM
Antes: texto libre de tenants activos → siempre "no entendí eso".
Ahora: normalización (lowercase, sin acentos, sin puntuación) + lookup
en diccionario de frases y regex para exp/pdf con número.

"novedades", "hay algo nuevo?" → /notif
"dame el estado" → /estado
"necesito ayuda" → /ayuda
"expediente 198/2026", "exp 198" → /exp <arg>
"pdf 198/2026" → /pdf <arg>
Texto irrelevante → respuesta "no entendí" sin cambios.
Onboarding en curso: sin interferencia.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-28 00:27:15 -03:00
markosbenitez
f5f7fdc179 docs: arquitectura con seguridad en CLAUDE.md + SECURITY.md dedicado
CLAUDE.md: diagrama Mermaid reemplaza file-tree desactualizado; incluye
todos los componentes actuales con controles de seguridad anotados.
Stack actualizado con aiohttp y Docker. Referencia a SECURITY.md.

SECURITY.md (nuevo): diagrama defensa en profundidad (7 vectores → controles),
diagrama vault.py v3 con capas KEK+DEK, diagrama de ciclo de vida de
credenciales (secuencia), tabla de controles transversales y limitaciones.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-26 11:14:33 -03:00
markosbenitez
0aa1365659 docs: guía de migración vault v3 en sección de actualización del bot
Agrega nota en sección 18 de DEPLOY.md sobre correr migrar_vault_v3.py
al actualizar desde versiones anteriores a v0.4.0 con tenants existentes.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-26 11:07:06 -03:00
markosbenitez
05b2f84eb8 security: vault v3 — PBKDF2 + envelope encryption (DEK/KEK)
Reemplaza derivación SHA256 por PBKDF2-HMAC-SHA256 (600k iter) con salt
aleatorio por tenant + DEK de 32 bytes aleatoria por cifrado. Robar la DB
sin FERNET_KEY o FERNET_KEY sin la DB ya no alcanza para comprometer credenciales.
Compatibilidad v1 preservada para migración. Agrega migrar_vault_v3.py con
dry-run, pre-flight check y backup atómico.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-26 11:04:51 -03:00
markosbenitez
5eb934d4a1 chore: release v0.3.1 — CHANGELOG + política de versiones en CLAUDE.md
- CHANGELOG.md: historial completo desde v0.1.0 hasta v0.3.1
- CLAUDE.md: sección 'Gestión de versiones' con reglas semver,
  tabla MAJOR/MINOR/PATCH, proceso de release copy-paste
- Scope y archivos del proyecto actualizados al estado real (v0.3.1)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-26 10:43:59 -03:00
markosbenitez
fa72ced5a6 security: hardening contra 7 vectores de ataque identificados
Análisis ofensivo → defensas implementadas:

1. /health/history sin auth (CRÍTICO)
   - Requiere Bearer token (HEALTH_AUTH_TOKEN en .env)
   - chat_ids enmascarados como hash SHA256[:8] opaco ("usr_a3b4c5d6")
   - Accesos denegados loggeados con IP + User-Agent

2. /health revela inteligencia operacional (MEDIO)
   - Sin auth: solo {"status", "timestamp"} — sin conteo de tenants ni timing
   - Con auth: respuesta completa con métricas internas
   - Misma URL, auth desbloquea detalle

3. Variables sensibles en proceso env (CRÍTICO)
   - Después de cargar Settings(), se limpian FERNET_KEY, TELEGRAM_BOT_TOKEN,
     PJ_USUARIO_ENC, PJ_PASSWORD_ENC, WEBHOOK_SECRET, HEALTH_AUTH_TOKEN, INVITE_CODE
   - Protege contra /proc/<pid>/environ y herencia por subprocesos

4. Race condition TOCTOU en invite codes (MEDIO)
   - SELECT+UPDATE reemplazado por UPDATE WHERE usado=0
   - rowcount=0 → False; imposible que dos requests simultáneos consuman el mismo código

5. Timing oracle en invite codes (BAJO-MEDIO)
   - Delay mínimo de 800ms en _paso_codigo() independientemente del resultado
   - secrets.compare_digest() para comparación del código del .env

6. Information disclosure en respuestas a no-registrados (BAJO)
   - _rechazar_no_registrado: "Para usar este bot escribí /start." (sin revelar comandos)
   - handle_texto_libre: silencio total para usuarios sin registro (no confirmar que el bot existe)

7. Nginx rate limiting (DEPLOY.md)
   - limit_req_zone pedrito_webhook: 30r/s, burst=50
   - limit_req_zone pedrito_health: 10r/m, burst=5
   - Headers de seguridad: X-Content-Type-Options, X-Frame-Options

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-26 08:06:36 -03:00
15 changed files with 1592 additions and 818 deletions

8
.claude/settings.json Normal file
View File

@@ -0,0 +1,8 @@
{
"permissions": {
"allow": [
"Bash(git add *)",
"Bash(git commit -m ' *)"
]
}
}

163
CHANGELOG.md Normal file
View File

@@ -0,0 +1,163 @@
# Changelog — Pedrito Hechakuaa
Todos los cambios notables se documentan acá.
Formato: [Keep a Changelog](https://keepachangelog.com/en/1.0.0/)
Versiones: [Semantic Versioning](https://semver.org/spec/v2.0.0.html)
---
## [Unreleased]
---
## [0.4.0] — 2026-05-26
### Security
- **Envelope encryption v3 en `vault.py`** — credenciales cifradas en dos capas independientes:
- DEK (Data Encryption Key): 32 bytes aleatorios, única por operación de cifrado.
- Wrapping Key: derivada de `FERNET_KEY` con PBKDF2-HMAC-SHA256, 600k iteraciones, salt de 16 bytes aleatorio por tenant. ~200ms por derivación — fuerza bruta inviable incluso con GPU.
- Formato en DB: `{"v":3,"s":"<salt_b64>","k":"<dek_enc>","p":"<payload_enc>"}`
- Propiedades: robar la DB sin `FERNET_KEY` es inútil; robar `FERNET_KEY` sin la DB también.
- **Cache de wrapping keys** (`lru_cache`) — evita ejecutar PBKDF2 600k iter por cada tenant en cada ciclo del poller. Cache key incluye fingerprint del KEK para invalidar si cambia `FERNET_KEY`.
- **Compatibilidad v1 preservada** — `descifrar_credenciales` detecta automáticamente formato v1 (Fernet token puro) vs v3 (JSON). No se generan nuevas v1.
### Added
- **`scripts/migrar_vault_v3.py`** — migración segura de credenciales v1 → v3:
- Verifica que todos los tenants v1 sean descifrables ANTES de tocar la DB (aborta si alguno falla).
- Backup automático de la DB antes de cualquier escritura.
- Flag `--dry-run` para ver qué haría sin modificar nada.
- Commit atómico: o migra todos o no migra ninguno.
---
## [0.3.1] — 2026-05-26
### Security
- **`/health/history` requiere auth** — `Authorization: Bearer <HEALTH_AUTH_TOKEN>`; sin token
devuelve 401 con header `WWW-Authenticate`. Sin auth configurada, retorna 401 igualmente.
- **chat_ids enmascarados en historial** — reemplazados por hash SHA256[:8] opaco (`usr_a3b4c5d6`);
preserva correlación de eventos sin exponer Telegram IDs (PII).
- **`/health` público mínimo** — sin auth devuelve solo `{status, timestamp}`. Con auth, respuesta
completa con métricas internas. Elimina exposición de conteo de tenants y timing del poller.
- **Env vars borradas del proceso** — después de cargar `Settings()`, se eliminan de `os.environ`:
`FERNET_KEY`, `TELEGRAM_BOT_TOKEN`, `PJ_USUARIO_ENC`, `PJ_PASSWORD_ENC`, `WEBHOOK_SECRET`,
`HEALTH_AUTH_TOKEN`, `INVITE_CODE`. Protege contra `/proc/<pid>/environ`.
- **Race condition TOCTOU en invite codes eliminada** — `SELECT + UPDATE` reemplazado por
`UPDATE WHERE codigo=? AND usado=0`; `rowcount=0` indica código no válido o ya usado.
Imposible que dos requests simultáneos consuman el mismo código.
- **Timing oracle en validación de código mitigado** — delay mínimo garantizado de 800ms en
`_paso_codigo()` independientemente del resultado; `secrets.compare_digest()` para comparación
contra código del `.env`.
- **Respuestas a usuarios no registrados reducidas al mínimo** — `_rechazar_no_registrado` ya no
revela la arquitectura de comandos; texto libre de usuarios sin registro recibe silencio total.
- **Webhook inválido devuelve 404** — en vez de 403, no confirma la existencia del endpoint.
- **Nginx rate limiting** documentado en `DEPLOY.md`: `limit_req_zone` 30r/s para webhook,
10r/min para health; headers `X-Content-Type-Options`, `X-Frame-Options`.
- **`HEALTH_AUTH_TOKEN`** agregado a `config.py` y a la guía de `.env` en `DEPLOY.md`.
---
## [0.3.0] — 2026-05-25
### Added
- **Docker** — `Dockerfile` (imagen `ghcr.io/astral-sh/uv:python3.12-bookworm-slim`),
`docker-compose.yml` con `restart: unless-stopped` y healthcheck, `.dockerignore`.
- **Health check HTTP** (`health.py`) — servidor aiohttp en puerto 8080:
- `GET /health` — estado del bot (ok/degraded)
- `GET /health/history` — últimos N eventos del audit log
- Watcher loop que alerta al admin via Telegram si el poller no actualiza en N horas
- **Schema migrations** — directorio `migrations/001_initial_schema.sql`, función
`run_migrations()` en `database.py`; idempotente con `CREATE TABLE IF NOT EXISTS`.
Tabla `schema_migrations` lleva registro de versiones aplicadas.
- **Webhook opt-in** — `POST /webhook` en aiohttp valida `X-Telegram-Bot-Api-Secret-Token` con
`compare_digest` y pone el Update en `application.update_queue` de PTB. Se activa con
`WEBHOOK_URL` en `.env`; vacío = long-polling.
- `aiohttp>=3.9` como nueva dependencia.
- `WEBHOOK_URL`, `WEBHOOK_SECRET`, `HEALTH_PORT`, `HEALTH_ALERT_HOURS` en `config.py`.
- Poller notifica a health vía callback `on_poll_done(tenant_count)`.
- `revisar_ahora()` retorna `int` (cantidad de tenants revisados).
### Changed
- `init_db()` reemplazado por `run_migrations()` en `main.py`; `init_db()` queda como alias
para compatibilidad con scripts.
- `main.py` arranca `HealthServer` antes del poller; elige polling vs webhook según config;
registra webhook con Telegram en modo webhook; elimina webhook al detener.
- `DEPLOY.md` actualizado con guía completa de 20 secciones: DNS Bluehost/cPanel (con mensaje
exacto en inglés para delegar), Nginx, Certbot/SSL, Docker, webhook, health check, rate limiting.
---
## [0.2.1] — 2026-05-25
### Fixed
- **Campos del API del PJ corregidos** — la API real usa `fechaNotificacion` (no `fecha`),
`descripcionDespacho` (no `juzgado`), `descripcionCircunscripcion` (no `circunscripcion`).
`NotificacionPendiente.__init__` ahora usa fallback `or` para ambos nombres.
- **PDF callback** — usaba `cod_notificacion_origen` como ID de actuación; corregido a
`cod_actuacion_caso` (campo `codActuacionCaso` de la API).
- **403 en `listar_notificaciones`** — manejado explícitamente como `CSJAuthError` en vez de
caer en `raise_for_status()` genérico.
---
## [0.2.0] — 2026-05-25
### Added
- **Multi-tenant** — `database.py` con SQLite vía aiosqlite; tabla `tenants` con credenciales
cifradas por chat_id; `list_active_tenants()`, `save_tenant()`, `delete_tenant()`.
- **Onboarding flow** (`onboarding.py`) — máquina de estados de 8 pasos:
código de invitación → consentimiento → nombre → tono → timezone → cédula → password → guardado.
- **Códigos de invitación** — tabla `invite_codes`, validación de un solo uso atómica,
fallback al código maestro del `.env`; `scripts/generar_codigo.py`.
- **Audit log** — tabla `audit_log`, función `audit.log()` fire-and-forget; cobertura de todos
los eventos de onboarding, polling, comandos y errores.
- **Rate limiting** (`utils/rate_limiter.py`) — ventana deslizante por chat_id, 20 req/60s;
reset en `/resetear`.
- **FERNET_KEY rotation** (`scripts/rotar_fernet_key.py`) — re-cifra todos los tenants de forma
atómica; hace backup de `.env` antes de modificar; aborta si algún tenant falla.
- Comando `/exp` — búsqueda de expedientes por número o carátula.
- Comando `/pdf` — descarga PDF de la actuación más reciente via `permisoFirmado`.
- Tono personalizable por abogado: formal / cotidiano / informal.
- Zona horaria configurable por abogado.
- `TELEGRAM_EXTRA_IDS` para autorizar IDs adicionales sin onboarding.
- `DEPLOY.md` — primera versión de la guía de despliegue en VPS Ubuntu con systemd.
### Changed
- `poller.py` itera sobre todos los tenants activos (era single-tenant).
- Snapshots por tenant: `data/snapshot_{chat_id}.json` (era `data/snapshot.json` global).
- `vault.py` usa derivación de clave Fernet por chat_id: `base64(SHA256(FERNET_KEY + str(chat_id)))`.
### Security
- Contraseña del PJ borrada de memoria inmediatamente tras cifrar (`del password` en onboarding).
- Mensaje de Telegram con la contraseña eliminado del chat vía `delete_message` antes de procesar.
---
## [0.1.0] — 2026-05-25
### Added
- Login al sistema judicial `apps.csj.gov.py`:
`GET /login` → cookie `cookiesession1``POST /autenticador/login` → bearer token (TTL 1h).
- Polling de `GET /Notificaciones/PorRecibir` cada N minutos en horario hábil (lun-vie, 7-18hs).
- Diff vs snapshot JSON local — solo notifica notificaciones con `codNotificacionOrigen` nuevo.
- Relogin automático transparente al expirar el token.
- Bot de Telegram con comandos: `/start`, `/notif`, `/estado`, `/ayuda`, `/salir`.
- Credenciales del PJ cifradas con Fernet en `.env` (`scripts/cifrar_credenciales.py`).
- `scrub()` en `utils/sanitize.py` — sanitiza bearer tokens, JWTs, cookies y passwords
antes de pasar cualquier dato externo a los logs.
- Logging estructurado con `structlog` (JSON en prod, ConsoleRenderer en dev vía `isatty`).
- Configuración vía `pydantic-settings` — único punto de config de la app (`config.py`).
- Stack base: `httpx`, `python-telegram-bot[ext] v21`, `aiosqlite`, `cryptography`, `structlog`,
`pydantic-settings`, `apscheduler`.
- Manejo de señales `SIGINT`/`SIGTERM` para shutdown limpio.

132
CLAUDE.md
View File

@@ -6,19 +6,21 @@ Pedrito Hechakuaa: un bot de Telegram que monitorea notificaciones pendientes
en el sistema judicial de Paraguay (`apps.csj.gov.py`) y avisa cuando aparece
algo nuevo. Uso propio de un solo abogado (single-tenant).
**Scope estricto de la v0:**
- Login al PJ + polling de notificaciones pendientes
- Diff vs snapshot anterior → solo notifica lo nuevo
- Telegram como canal de salida
- Correr en local o VPS con docker-compose
**Versión actual: v0.3.1** — ver historial completo en `CHANGELOG.md`.
**Fuera del scope de v0 (no agregar sin consulta explícita):**
**Scope implementado:**
- Login al PJ + polling de notificaciones pendientes (multi-tenant)
- Diff vs snapshot por tenant → solo notifica lo nuevo
- Telegram como canal de salida con onboarding, tono personalizable y timezone
- Búsqueda de expedientes y descarga de PDFs
- Infraestructura: Docker, health check HTTP, schema migrations, webhook opt-in
**Fuera del scope actual (no agregar sin consulta explícita):**
- Motor de reglas de plazos
- LLM / conversación libre
- Multi-tenant
- Web de onboarding
- Actuaciones de expedientes (es v1)
- Acuse de notificaciones (nunca en MVP)
- Acuse de notificaciones (nunca — efecto procesal irreversible)
---
@@ -45,16 +47,55 @@ Toda llamada a `logger.*()` con datos externos pasa por acá.
## Arquitectura
```mermaid
graph TD
ABOGADO["👤 Abogado"]
TG(["Telegram API"])
CSJ(["apps.csj.gov.py · PJ"])
subgraph VPS ["VPS — Ubuntu 22.04"]
NGX["🔐 Nginx\nSSL · 30 r/s webhook · 10 r/min health\nX-Content-Type-Options · X-Frame-Options"]
subgraph DOCKER ["🐳 Docker container"]
WH["POST /webhook\n→ 404 si token inválido\nsecrets.compare_digest"]
HL["GET /health\npúblico: status + timestamp"]
HH["GET /health/history\nBearer auth · chat_id enmascarado SHA256"]
ONB["Onboarding FSM · 8 pasos\ninvite atómico UPDATE WHERE usado=0\ntiming ≥800ms · compare_digest"]
CMD["Comandos\n/notif · /exp · /pdf · /estado · /ayuda"]
POLLER["Poller · APScheduler\nmulti-tenant · lun-vie 7-18h"]
VAULT["🔐 vault.py\nPBKDF2-SHA256 600k iter\nDEK 32B por cifrado · envelope v3"]
CFG["🔐 config.py · Settings\nenv vars borradas post-init"]
SCRUB["scrub()\ntodo dato externo a logs\npasa por acá antes de escribir"]
end
DB[("pasante.db\ntenants · audit_log\ninvite_codes · migrations")]
SNAP["snapshot_{chat_id}.json\ndiff notificaciones por tenant"]
end
ABOGADO <-->|"HTTPS"| TG
TG -->|"HTTPS + X-Secret-Token"| NGX
NGX --> WH
NGX --> HL
NGX --> HH
WH --> ONB
WH --> CMD
ONB -->|"cifra credenciales"| VAULT
VAULT <-->|"credentials_enc"| DB
CMD --> DB
HH -->|"audit_log — chat_id enmascarado"| DB
POLLER -->|"HTTPS + Bearer + usuario-rol:16"| CSJ
CSJ -->|"notificaciones JSON"| POLLER
POLLER --> SNAP
POLLER -->|"alertas"| TG
POLLER -->|"descifra por tenant"| VAULT
CFG -.->|"configura"| VAULT
CFG -.->|"configura"| POLLER
classDef secure fill:#fef2f2,stroke:#991b1b,color:#450a0a
class NGX,VAULT,CFG,SCRUB secure
```
main.py ← entrypoint, arranca bot + poller en paralelo
config.py ← Settings via pydantic-settings (ÚNICA fuente de config)
csj_client.py ← HTTP client del PJ (login + notificaciones, read-only)
poller.py ← loop de polling + diff + dispara alertas
telegram_bot.py ← envía mensajes y maneja /comandos básicos
storage.py ← snapshot en JSON local (sin DB por ahora)
utils/
sanitize.py ← credential_scrubber() — NUNCA loggear sin pasar por acá
```
Ver [SECURITY.md](SECURITY.md) para el diagrama de arquitectura de seguridad detallado.
---
@@ -66,11 +107,13 @@ utils/
| HTTP client | `httpx` async |
| Bot | `python-telegram-bot v21` async |
| Scheduler | `APScheduler 3` |
| Cifrado | `cryptography` (Fernet) |
| Cifrado | `cryptography` (Fernet + PBKDF2) |
| HTTP server | `aiohttp>=3.9` (health check + webhook) |
| Config | `pydantic-settings` |
| Logging | `structlog` (JSON en prod, ConsoleRenderer en dev) |
| Infraestructura | Docker + docker-compose |
Sin Playwright. Sin Postgres. Sin Redis. Sin LLM. Sin Docker por ahora (opcional).
Sin Playwright. Sin Postgres. Sin Redis. Sin LLM.
**No introducir librerías fuera de esta lista sin justificación explícita.**
@@ -253,9 +296,54 @@ Ante cambio de schema del PJ: actualizar `csj_client.py` y documentar en
| Archivo | Propósito |
|---------|-----------|
| `CLAUDE.md` | Este archivo — reglas para Claude Code |
| `OBSERVATIONS.md` | Hallazgos durante el desarrollo (crear si no existe) |
| `TECH_DEBT.md` | Deuda técnica anotada (crear si no existe) |
| `data/snapshot.json` | Estado persistido del poller |
| `CHANGELOG.md` | Historial de versiones — actualizar antes de cada release |
| `DEPLOY.md` | Guía de despliegue en VPS: Docker, Nginx, SSL, DNS |
| `OBSERVATIONS.md` | Hallazgos durante el desarrollo (schema real del PJ, etc.) |
| `TECH_DEBT.md` | Deuda técnica anotada |
| `migrations/` | Archivos `.sql` de schema — nunca editar los ya aplicados |
| `data/pasante.db` | Base de datos SQLite (tenants, audit_log, invite_codes) |
| `data/snapshot_*.json` | Estado del diff de notificaciones por tenant |
---
## Gestión de versiones
### Esquema: Semantic Versioning (semver 2.0)
`MAJOR.MINOR.PATCH` — tags git con prefijo `v` (ej: `v0.3.1`).
| Número | Incrementar cuando... | Ejemplos |
|--------|----------------------|---------|
| `MAJOR` | Cambio incompatible con versiones anteriores: migración de DB no retrocompatible, cambio de protocolo del PJ, rediseño de arquitectura | `v1.0.0` (migración a Postgres) |
| `MINOR` | Feature nuevo sin romper lo existente: comando nuevo, integración nueva, mejora visible al usuario | `/recordatorio`, modo silencioso |
| `PATCH` | Bug fix, security patch, mejora interna, documentación operacional | corrección de campo del PJ, hardening |
### Reglas que Claude Code sigue siempre
1. **Cada release requiere entrada en `CHANGELOG.md`** con fecha y secciones
`Added / Changed / Fixed / Security` según corresponda.
2. **El tag se crea después del commit de changelog**, no antes.
3. **`[Unreleased]`** acumula todos los cambios hasta que Marcos decide liberar.
4. **Claude propone el número de versión** basándose en las reglas de arriba;
Marcos lo aprueba antes de tagear.
5. **`git tag` y `git push --tags` los ejecuta Claude solo cuando Marcos lo confirma** —
son acciones externas (modifican el remoto) que requieren aprobación explícita.
6. **Tags retroactivos** son válidos para dar historia a commits anteriores;
se crean con `git tag -a vX.Y.Z <hash>`.
### Proceso de release (copy-paste)
```bash
# 1. CHANGELOG.md ya actualizado (mover [Unreleased] → [X.Y.Z] con fecha)
git add CHANGELOG.md
git commit -m "chore: release vX.Y.Z"
# 2. Tag anotado
git tag -a vX.Y.Z -m "vX.Y.Z — resumen en una línea"
# 3. Push incluyendo el tag
git push origin main --tags
```
---

965
DEPLOY.md

File diff suppressed because it is too large Load Diff

View File

@@ -21,4 +21,6 @@ USER 1000
EXPOSE 8080
ENV UV_NO_CACHE=1
ENTRYPOINT ["uv", "run", "python", "main.py"]

View File

@@ -0,0 +1,319 @@
# Prompt para Claude Code — Sprint 4: Features 3, 5 y 1
Lee `CLAUDE.md` antes de empezar. Las invariantes de seguridad aplican.
Implementar las tres features en orden: primero F5 (más simple), luego F3, luego F1.
---
## Feature 5 — Frases libres → comandos (sin LLM)
### Contexto
El bot hoy responde a texto libre con "no entendí eso, mirá /ayuda".
Hay frases obvias que debería mapear a comandos existentes sin necesidad de LLM.
### Implementación
En `telegram_bot.py`, modificar `handle_texto_libre()` para que antes de
responder "no entendí", intente mapear el texto a un comando conocido.
```python
FRASES_COMANDOS = {
# Notificaciones
"novedades": "notif",
"actualizaciones": "notif",
"que hay nuevo": "notif",
"qué hay nuevo": "notif",
"hay algo nuevo": "notif",
"alguna novedad": "notif",
"notificaciones": "notif",
"notificacion": "notif",
"notificación": "notif",
"revisar": "notif",
"actualizar": "notif",
# Estado
"estado": "estado",
"como estas": "estado",
"cómo estás": "estado",
# Ayuda
"ayuda": "ayuda",
"help": "ayuda",
"que podes hacer": "ayuda",
"qué podés hacer": "ayuda",
"comandos": "ayuda",
}
```
Lógica de matching: normalizar el texto del usuario (lowercase, sin acentos,
sin signos de puntuación) y buscar si alguna frase del diccionario está
contenida en el texto normalizado.
Si hay match → ejecutar el handler correspondiente directamente.
Si no hay match → respuesta actual ("no entendí eso...").
Casos especiales a detectar por regex:
- "expediente 198/2026" o "exp 198" → ejecutar cmd_exp con ese argumento
- "pdf 198/2026" → ejecutar cmd_pdf con ese argumento
### Verificación
- [ ] "novedades" ejecuta lo mismo que /notif
- [ ] "qué hay nuevo?" ejecuta lo mismo que /notif
- [ ] "expediente 198/2026" ejecuta lo mismo que /exp 198/2026
- [ ] Texto completamente irrelevante ("hola qué tal") sigue respondiendo con el mensaje de ayuda
- [ ] No interfiere con el flujo de onboarding
---
## Feature 3 — Extracto de PDF sin LLM
### Contexto
Cuando llega una notificación con documento adjunto, el abogado quiere saber
qué dice sin tener que descargar y abrir el PDF. La solución es extraer el
texto del PDF con `pypdf` y mostrar las primeras líneas como extracto.
Sin LLM. Sin interpretación. Texto crudo del documento con disclaimer.
### Nueva dependencia
Agregar a `pyproject.toml`:
```
"pypdf>=4.0",
```
### Nuevo módulo `pdf_extractor.py`
```python
"""
pdf_extractor.py — Extracción de texto de PDFs judiciales.
Sin LLM. Sin interpretación. Solo extracción de texto crudo.
El abogado lee el extracto y decide. Pedrito no interpreta.
Los PDFs nunca se guardan en disco — se procesan en memoria.
"""
from pypdf import PdfReader
import io
MAX_CHARS = 600 # máximo de caracteres a mostrar
def extraer_extracto(pdf_bytes: bytes) -> str | None:
"""
Extrae las primeras líneas de texto de un PDF judicial.
Retorna el extracto como string, o None si el PDF no tiene texto
extraíble (PDF escaneado, imagen, etc.)
Los PDFs del PJ son nativos (no escaneados), así que pypdf funciona.
"""
try:
reader = PdfReader(io.BytesIO(pdf_bytes))
texto = ""
for page in reader.pages:
texto += page.extract_text() or ""
if len(texto) >= MAX_CHARS:
break
texto = texto.strip()
if not texto:
return None
# Limpiar saltos de línea múltiples
import re
texto = re.sub(r'\n{3,}', '\n\n', texto)
if len(texto) > MAX_CHARS:
texto = texto[:MAX_CHARS] + "..."
return texto
except Exception:
return None
```
### Integración en el flujo de notificaciones
En `poller.py`, método `revisar_ahora()`, cuando se detecta una notificación
nueva y se va a enviar al abogado:
1. Intentar descargar el PDF (ya existe `descargar_documento_principal()`)
2. Si descarga OK → extraer extracto con `extraer_extracto()`
3. Enviar notificación con extracto incluido
4. Si descarga falla o PDF sin texto → enviar notificación sin extracto (degradación elegante)
### Formato del mensaje con extracto
```
📋 Nueva notificación judicial
{caratula}
Exp. {numero}/{anio} — {juzgado}
Tipo: {tipo}
Fecha: {fecha}
📄 Extracto del documento:
{extracto}
⚠️ Este es el texto crudo del documento. Verificá
el original antes de actuar.
[Ver PDF] [Ir al sistema del PJ]
```
Si no hay extracto disponible, el mensaje es igual pero sin la sección
"📄 Extracto del documento".
### En `cmd_pdf()` de `telegram_bot.py`
Cuando el abogado pide `/pdf 198/2026`, después de enviar el archivo también
enviar el extracto como mensaje de texto separado:
```
📄 Contenido del documento:
{extracto}
⚠️ Verificá el original antes de actuar.
```
### Verificación
- [ ] Una notificación nueva llega con el extracto incluido
- [ ] Si el PDF no tiene texto extraíble, la notificación llega igual sin extracto
- [ ] El extracto no supera 600 caracteres
- [ ] El disclaimer siempre aparece cuando hay extracto
- [ ] Los bytes del PDF nunca se escriben a disco
- [ ] `scrub()` en cualquier log que mencione el contenido del extracto
- [ ] Agregar `pypdf` a `pyproject.toml`
---
## Feature 1 — Backend de administración web (FastAPI + HTML puro)
### Contexto
Panel de administración interno para gestionar tenants y ver actividad.
Solo para el admin (Marcos). No es un producto — es una herramienta operativa.
HTML puro servido por FastAPI. Sin framework frontend. Funcional sobre bonito.
### Nueva dependencia
Agregar a `pyproject.toml`:
```
"fastapi>=0.115",
"uvicorn>=0.32",
"jinja2>=3.1",
```
### Estructura de archivos nuevos
```
admin/
__init__.py
app.py ← FastAPI app del panel
auth.py ← autenticación básica (token en .env)
templates/
base.html ← layout común
tenants.html ← listado de tenants
tenant.html ← detalle de un tenant
audit.html ← audit log
```
### Autenticación del panel
Token estático en `.env`:
```
ADMIN_TOKEN=genera-uno-con-secrets.token_hex(32)
```
Middleware simple: si el request no tiene el header `X-Admin-Token` con el
valor correcto → 403. No hace falta sesiones ni cookies para este sprint.
Agregar a `Settings` en `config.py`:
```python
admin_token: str = ""
admin_port: int = 8080
```
### Rutas del panel
```
GET / → redirect a /tenants
GET /tenants → listado de todos los tenants
GET /tenants/{id} → detalle de un tenant
POST /tenants/{id}/resetear → resetea el tenant (borra DB + snapshot)
GET /audit → audit log, últimas 200 entradas, filtrable por chat_id
GET /audit?chat_id=X → audit log filtrado por tenant
```
### Página /tenants — tabla con columnas
| chat_id | nombre | estado | tono | timezone | cédula (primeros 3 dígitos + ***) | último chequeo | acciones |
|---------|--------|--------|------|----------|-----------------------------------|----------------|---------|
La cédula se muestra parcialmente — nunca en texto plano.
"Acciones" tiene un botón "Resetear" que hace POST a `/tenants/{id}/resetear`.
### Página /tenants/{id} — detalle
- Todos los campos del tenant
- Últimas 20 entradas del audit_log para ese chat_id
- Botón resetear
### Página /audit — tabla con columnas
| timestamp (hora local) | chat_id | nombre tenant | evento | resultado | detalle (JSON colapsado) |
Filtro por chat_id con un input de texto simple.
Paginación básica: 200 registros por página, botón "más antiguos".
### Arrancar el panel junto con el bot
En `main.py`, arrancar el servidor de administración en un thread separado:
```python
import uvicorn
import threading
def run_admin():
uvicorn.run("admin.app:app", host="127.0.0.1", port=settings.admin_port, log_level="warning")
admin_thread = threading.Thread(target=run_admin, daemon=True)
admin_thread.start()
```
El panel corre en `127.0.0.1:8080` — solo accesible via SSH tunnel, no expuesto públicamente.
Para acceder desde tu Mac:
```bash
ssh -L 8080:127.0.0.1:8080 pedrito@<IP_VPS>
# Luego abrir http://localhost:8080 en el browser
```
### Seguridad del panel
- Solo escucha en 127.0.0.1 (no en 0.0.0.0) — inaccesible desde internet
- Requiere el token en cada request
- Las cédulas nunca se muestran completas
- Los bearer tokens del PJ nunca aparecen en el panel
- El panel es de solo lectura excepto la acción "resetear"
### Verificación
- [ ] `GET /tenants` muestra los tenants registrados con cédula parcial
- [ ] `POST /tenants/{id}/resetear` borra el tenant y su snapshot
- [ ] `GET /audit` muestra las últimas 200 entradas
- [ ] `GET /audit?chat_id=X` filtra correctamente
- [ ] Sin `ADMIN_TOKEN` en el request → 403
- [ ] El panel NO es accesible desde internet (solo 127.0.0.1)
- [ ] El panel arranca junto con el bot sin errores
- [ ] Agregar `fastapi`, `uvicorn`, `jinja2` a `pyproject.toml`
---
## Orden de implementación sugerido
1. Feature 5 (frases libres) — 2-3 horas, sin dependencias nuevas
2. Feature 3 (extracto PDF) — 3-4 horas, una dependencia nueva
3. Feature 1 (panel admin) — 4-6 horas, más compleja
## Lo que NO hacer en este sprint
- No usar LLM para nada — ni resumen, ni clasificación, ni mapeo de intenciones
- No exponer el panel en un puerto público
- No guardar PDFs en disco
- No mostrar cédulas completas en el panel
- No cambiar el onboarding
- No cambiar el flujo de notificaciones existente más allá de agregar el extracto

179
SECURITY.md Normal file
View File

@@ -0,0 +1,179 @@
# Arquitectura de seguridad — Pedrito Hechakuaa
Versión actual: **v0.4.1**. Ver [CHANGELOG.md](CHANGELOG.md) para historial.
---
## 1. Defensa en profundidad
Cada vector de ataque identificado tiene al menos un control en la capa de red,
uno en la aplicación, y uno en los datos.
```mermaid
graph LR
subgraph THREATS ["Vectores de ataque"]
T1["🌐 Red pública\nport scan · DDoS · flood"]
T2["📨 Webhook spoofing\nfake Telegram updates"]
T3["🔍 Health endpoint\nexfiltración de datos internos"]
T4["🔑 Onboarding\nbrute-force de códigos de invitación"]
T5["💾 Robo de DB\ncredenciales en texto plano"]
T6["🧠 Acceso a proceso\n/proc/pid/environ · docker inspect"]
T7["👤 Usuario no registrado\nreconocimiento de comandos"]
end
subgraph DEFENSES ["Controles implementados"]
D1["UFW: solo 22/80/443\nNginx rate-limit 30r/s webhook\n10r/min health · security headers"]
D2["X-Secret-Token\nsecrets.compare_digest\n→ 404 si falla (no confirma endpoint)"]
D3["Bearer auth en /history\nchat_id enmascarado SHA256[:8]\n/health público devuelve mínimo"]
D4["UPDATE atómico WHERE usado=0\ntiming mínimo ≥800ms\nsecrets.compare_digest vs master code"]
D5["vault.py v3: PBKDF2 + DEK/KEK\nrobar DB sin FERNET_KEY = inútil\nrobar FERNET_KEY sin DB = inútil"]
D6["os.environ.pop() post-init\nFERNET_KEY · tokens · secrets borrados\n(protege /proc · no docker inspect)"]
D7["Silencio total a desconocidos\nallowlist por chat_id\nrespuestas mínimas no revelan arquitectura"]
end
T1 --> D1
T2 --> D2
T3 --> D3
T4 --> D4
T5 --> D5
T6 --> D6
T7 --> D7
classDef threat fill:#fef2f2,stroke:#991b1b,color:#450a0a
classDef defense fill:#f0fdf4,stroke:#166534,color:#052e16
class T1,T2,T3,T4,T5,T6,T7 threat
class D1,D2,D3,D4,D5,D6,D7 defense
```
---
## 2. Cifrado de credenciales — vault.py v3
El sistema usa **envelope encryption** en dos capas. Comprometer una capa sola
no es suficiente para obtener credenciales en texto plano.
```mermaid
graph TD
subgraph INPUT ["Entrada"]
FKEY["FERNET_KEY\n(del .env — jamás toca disco como texto)"]
CREDS["usuario + password\n(del abogado en Telegram)"]
end
subgraph GEN ["Generación de material criptográfico"]
SALT["salt = os.urandom(16)\n16 bytes aleatorios\núnico por cada operación de cifrado"]
DEK["dek = os.urandom(32)\n32 bytes aleatorios\núnico por cada operación de cifrado"]
end
subgraph KEK_LAYER ["Capa KEK — derivación de clave wrapping"]
PBKDF2["PBKDF2-HMAC-SHA256\n600.000 iteraciones · ~200ms\nwrapping_key = PBKDF2(FERNET_KEY, salt)\nfuerza bruta inviable incluso con GPU"]
WRAP["dek_enc = Fernet(wrapping_key).encrypt(dek)\nla DEK queda protegida por la clave derivada"]
end
subgraph DEK_LAYER ["Capa DEK — cifrado de datos"]
PAYLOAD["payload = JSON con usuario + password"]
PENC["payload_enc = Fernet(dek).encrypt(payload)\nlos datos quedan protegidos por clave efímera"]
end
subgraph STORED ["Guardado en DB — credentials_enc"]
JSON_OUT["{v:3, s:salt_b64, k:dek_enc_b64, p:payload_enc_b64}"]
end
FKEY --> PBKDF2
SALT --> PBKDF2
PBKDF2 --> WRAP
DEK --> WRAP
DEK --> PENC
CREDS --> PAYLOAD --> PENC
WRAP --> JSON_OUT
PENC --> JSON_OUT
SALT --> JSON_OUT
classDef input fill:#eff6ff,stroke:#1d4ed8,color:#1e3a8a
classDef crypto fill:#f0fdf4,stroke:#166534,color:#052e16
classDef stored fill:#fefce8,stroke:#854d0e,color:#451a03
class FKEY,CREDS input
class SALT,DEK,PBKDF2,WRAP,PAYLOAD,PENC crypto
class JSON_OUT stored
```
### Por qué dos capas
| Atacante tiene acceso a... | Puede obtener credenciales? |
|----------------------------|-----------------------------|
| Solo la DB (`pasante.db`) | No — DEK y payload cifrados con clave derivada de FERNET_KEY |
| Solo `FERNET_KEY` | No — el salt está en la DB; sin él no se puede derivar la wrapping key |
| DB + `FERNET_KEY` | Sí — pero requiere acceso completo al servidor |
| Una credencial descifrada | No afecta las demás — cada tenant tiene salt y DEK únicos |
---
## 3. Ciclo de vida de credenciales
```mermaid
sequenceDiagram
actor Abogado
participant ONB as Onboarding FSM
participant BOT as telegram_bot
participant VAULT as vault.py
participant DB as pasante.db
participant POLL as Poller
participant CSJ as apps.csj.gov.py
Note over Abogado,DB: — Alta de abogado —
Abogado->>BOT: envía contraseña por Telegram
BOT->>BOT: delete_message() — borra el mensaje del chat
BOT->>ONB: procesa credencial
ONB->>VAULT: cifrar_credenciales(chat_id, usuario, password, fernet_key)
Note over VAULT: genera salt (16B) + DEK (32B) aleatorios
Note over VAULT: PBKDF2(FERNET_KEY, salt, 600k iter) → wrapping_key
Note over VAULT: Fernet(wrapping_key).encrypt(DEK) → dek_enc
Note over VAULT: Fernet(DEK).encrypt(payload) → payload_enc
VAULT-->>ONB: JSON envelope v3
ONB->>DB: UPDATE tenants SET credentials_enc = ?
Note over ONB: del password — limpieza de memoria inmediata
Note over Abogado,CSJ: — Ciclo de polling (cada hora) —
POLL->>DB: SELECT credentials_enc FROM tenants WHERE estado='activo'
POLL->>VAULT: descifrar_credenciales(chat_id, credentials_enc, fernet_key)
Note over VAULT: lru_cache(wrapping_key) si mismo (salt, fernet_key) ya derivado
Note over VAULT: Fernet(wrapping_key).decrypt(dek_enc) → DEK
Note over VAULT: Fernet(DEK).decrypt(payload_enc) → usuario, password
VAULT-->>POLL: (usuario, password) — solo en memoria
POLL->>CSJ: POST /autenticador/login {usuario, clave}
CSJ-->>POLL: bearerToken (TTL 1h)
Note over POLL: del usuario, password — limpieza de memoria
POLL->>CSJ: GET /Notificaciones/PorRecibir (Bearer)
CSJ-->>POLL: lista de notificaciones
POLL->>Abogado: alerta Telegram si hay novedades
```
---
## 4. Controles transversales
| Control | Implementación | Archivo |
|---------|---------------|---------|
| Log sanitization | `scrub()` — todo dato externo pasa por acá antes de `logger.*()` | `utils/sanitize.py` |
| Audit trail | `audit.log()` — quién, qué, cuándo, resultado — sin payload sensible | `audit.py` |
| Rate limiting (HTTP) | `limit_req_zone` en Nginx — 30r/s webhook, 10r/min health | `DEPLOY.md § 11` |
| Rate limiting (bot) | Ventana deslizante 20 req/60s por chat_id | `utils/rate_limiter.py` |
| Comparación de secrets | `secrets.compare_digest()` — evita timing oracle en todas las validaciones | `health.py`, `onboarding.py` |
| Env vars post-init | `os.environ.pop()` para FERNET_KEY, tokens y secrets tras cargar Settings | `main.py` |
| Invite codes | `UPDATE WHERE usado=0` atómico — elimina TOCTOU race condition | `database.py` |
| chat_id en logs | Enmascarado como `usr_` + SHA256[:8] — no reversible, sí correlacionable | `health.py` |
| Respuestas a desconocidos | Silencio total; `/health` público devuelve solo `{status, timestamp}` | `telegram_bot.py`, `health.py` |
| Acuse de notificaciones | `PUT /Notificaciones/{id}/recibir` **NUNCA se llama** — efecto procesal irreversible | invariante global |
---
## 5. Limitaciones conocidas
| Limitación | Motivo | Mitigación |
|------------|--------|------------|
| `docker inspect` expone env vars | Docker no puede evitarlo por diseño | Usar Docker secrets en v1; FERNET_KEY en vault externo (HashiCorp Vault) |
| Credenciales en memoria no se pueden zerear | Python `str` es inmutable; GC no garantizado | `del` inmediato post-uso; sin referencias persistentes |
| lru_cache mantiene wrapping keys en RAM | Tradeoff performance vs isolation | Cache key incluye fingerprint del KEK; se invalida si cambia FERNET_KEY |
| `.env` en disco del servidor | Necesario para arrancar | Permisos `600`, usuario dedicado `pedrito`, fuera del directorio web |
| Backup de DB sin cifrar | `data/pasante.db.bak` queda en disco | Incluir en política de backup cifrado; mismos permisos que la DB |

View File

@@ -57,6 +57,10 @@ class Settings(BaseSettings):
# Código de invitación para registro (vacío = registro abierto)
invite_code: str = ""
# Token para los endpoints HTTP protegidos (/health detallado, /health/history)
# Sin auth configurada los endpoints devuelven respuesta mínima (status only)
health_auth_token: str = ""
# Webhook (vacío = long-polling)
webhook_url: str = "" # ej: https://bot.midominio.com
webhook_secret: str = "" # token secreto para X-Telegram-Bot-Api-Secret-Token

View File

@@ -162,23 +162,20 @@ async def crear_invite_code(codigo: str) -> None:
async def verificar_y_consumir_invite_code(codigo: str, chat_id: int) -> bool:
"""
Verifica que el código existe y no fue usado, lo marca como consumido y
retorna True. Retorna False si no existe o ya fue usado.
Operación atómica en una sola transacción SQLite.
Verifica y consume un código de invitación en una sola operación atómica.
Usa UPDATE con condición AND usado=0 en vez de SELECT+UPDATE para eliminar la
race condition TOCTOU: dos requests concurrentes con el mismo código solo
pueden actualizar la fila una vez — el segundo UPDATE afecta 0 rows y retorna False.
"""
conn = _assert_conn()
async with conn.execute(
"SELECT usado FROM invite_codes WHERE codigo = ?", (codigo,)
) as cur:
row = await cur.fetchone()
if row is None or row["usado"]:
return False
await conn.execute(
"UPDATE invite_codes SET usado = 1, usado_por = ?, usado_at = ? WHERE codigo = ?",
cur = await conn.execute(
"UPDATE invite_codes SET usado = 1, usado_por = ?, usado_at = ? "
"WHERE codigo = ? AND usado = 0",
(chat_id, _now_iso(), codigo),
)
await conn.commit()
if cur.rowcount > 0:
logger.info("invite_code_consumido", chat_id=chat_id)
return True
return False

119
health.py
View File

@@ -2,20 +2,31 @@
health.py — Servidor HTTP para health check y webhook de Telegram.
Rutas:
GET /health → JSON con estado actual del bot
GET /health/history → últimos N eventos del audit_log (?limit=50)
GET /health → estado mínimo (público) | estado completo (con Bearer token)
GET /health/history → últimos N eventos del audit_log — REQUIERE Bearer token
POST /webhook → recibe updates de Telegram (solo en modo webhook)
Modo webhook opt-in: solo se activa si settings.webhook_url está configurado.
En modo long-polling, /webhook no se registra.
Seguridad:
- /health sin auth: solo devuelve {"status": "ok"|"degraded", "timestamp": "..."}
Sin conteos de tenants ni timing que revele inteligencia operacional.
- /health con auth: respuesta completa con métricas internas.
- /health/history siempre requiere auth.
- chat_ids en el historial se enmascaran como hashes opacos (no reversibles desde HTTP).
- Webhook valida X-Telegram-Bot-Api-Secret-Token con compare_digest.
Configurar en .env:
HEALTH_AUTH_TOKEN=<token largo aleatorio>
(generar con: python -c "import secrets; print(secrets.token_hex(32))")
"""
from __future__ import annotations
import asyncio
import hashlib
import json
import secrets
from datetime import datetime, timedelta, timezone
from typing import TYPE_CHECKING
import asyncio
import aiohttp.web
import structlog
from telegram import Update
@@ -29,7 +40,7 @@ logger = structlog.get_logger(__name__)
# ── Estado global del poller ──────────────────────────────────────────────────
_last_poll_at: datetime | None = None
_last_poll_tenant_count: int = 0
_alert_sent: bool = False # evitar spam de alertas consecutivas
_alert_sent: bool = False
def record_poll(tenant_count: int) -> None:
@@ -40,6 +51,17 @@ def record_poll(tenant_count: int) -> None:
_alert_sent = False
def _mask_chat_id(chat_id: int | None) -> str | None:
"""
Convierte un chat_id en un identificador opaco no reversible.
Preserva la capacidad de correlacionar eventos del mismo usuario
sin exponer el Telegram ID real.
"""
if chat_id is None:
return None
return "usr_" + hashlib.sha256(str(chat_id).encode()).hexdigest()[:8]
# ── Servidor ──────────────────────────────────────────────────────────────────
class HealthServer:
@@ -61,7 +83,11 @@ class HealthServer:
await self._runner.setup()
site = aiohttp.web.TCPSite(self._runner, "0.0.0.0", self._settings.health_port)
await site.start()
logger.info("health_server_iniciado", port=self._settings.health_port)
logger.info(
"health_server_iniciado",
port=self._settings.health_port,
auth_configurada=bool(self._settings.health_auth_token),
)
self._watcher_task = asyncio.create_task(self._watcher_loop())
@@ -76,37 +102,60 @@ class HealthServer:
await self._runner.cleanup()
logger.info("health_server_detenido")
# ── Auth ──────────────────────────────────────────────────────────────────
def _is_authenticated(self, request: aiohttp.web.Request) -> bool:
"""
Valida el header Authorization: Bearer <token>.
Si health_auth_token no está configurado, siempre retorna False
(los endpoints protegidos devuelven respuesta mínima, no error).
"""
if not self._settings.health_auth_token:
return False
auth = request.headers.get("Authorization", "")
if not auth.startswith("Bearer "):
return False
provided = auth[7:]
# compare_digest previene timing attacks sobre el token de admin
return secrets.compare_digest(provided, self._settings.health_auth_token)
# ── Handlers ─────────────────────────────────────────────────────────────
async def _handle_health(self, request: aiohttp.web.Request) -> aiohttp.web.Response:
now = datetime.now(timezone.utc)
stale = False
if _last_poll_at:
stale = (now - _last_poll_at) > timedelta(hours=self._settings.health_alert_hours)
# Respuesta pública mínima — no revela conteos ni timing operacional
data: dict = {
"status": "degraded" if stale else "ok",
"timestamp": now.isoformat(),
}
# Respuesta extendida solo con auth válida
if self._is_authenticated(request):
from database import get_conn
conn = get_conn()
async with conn.execute(
"SELECT COUNT(*) as n FROM tenants WHERE estado = 'activo'"
) as cur:
row = await cur.fetchone()
tenant_count = row["n"] if row else 0
now = datetime.now(timezone.utc)
seconds_since_poll: int | None = None
stale = False
if _last_poll_at:
delta = now - _last_poll_at
seconds_since_poll = int(delta.total_seconds())
stale = delta > timedelta(hours=self._settings.health_alert_hours)
seconds_since_poll = int((now - _last_poll_at).total_seconds())
data = {
"status": "degraded" if stale else "ok",
"timestamp": now.isoformat(),
data.update({
"tenants_activos": tenant_count,
"last_poll": _last_poll_at.isoformat() if _last_poll_at else None,
"last_poll_tenants": _last_poll_tenant_count,
"seconds_since_last_poll": seconds_since_poll,
"poll_interval_minutes": self._settings.poll_interval_minutes,
"webhook_mode": bool(self._settings.webhook_url),
}
})
return aiohttp.web.Response(
text=json.dumps(data, indent=2),
content_type="application/json",
@@ -114,6 +163,20 @@ class HealthServer:
)
async def _handle_history(self, request: aiohttp.web.Request) -> aiohttp.web.Response:
# Este endpoint siempre requiere autenticación — contiene PII (chat_ids)
if not self._is_authenticated(request):
logger.warning(
"health_history_acceso_denegado",
ip=request.remote,
ua=request.headers.get("User-Agent", "")[:80],
)
return aiohttp.web.Response(
status=401,
text=json.dumps({"error": "Authentication required"}),
content_type="application/json",
headers={"WWW-Authenticate": 'Bearer realm="pedrito-health"'},
)
from database import get_conn
conn = get_conn()
@@ -129,16 +192,26 @@ class HealthServer:
) as cur:
rows = await cur.fetchall()
# Enmascarar chat_ids: el consumidor puede correlacionar eventos del mismo usuario
# pero no puede determinar la identidad real sin acceso a la DB.
records = []
for r in rows:
row_dict = dict(r)
row_dict["chat_id"] = _mask_chat_id(row_dict.get("chat_id"))
records.append(row_dict)
return aiohttp.web.Response(
text=json.dumps([dict(r) for r in rows], indent=2),
text=json.dumps(records, indent=2),
content_type="application/json",
)
async def _handle_webhook(self, request: aiohttp.web.Request) -> aiohttp.web.Response:
secret = request.headers.get("X-Telegram-Bot-Api-Secret-Token", "")
if self._settings.webhook_secret and secret != self._settings.webhook_secret:
provided = request.headers.get("X-Telegram-Bot-Api-Secret-Token", "")
if self._settings.webhook_secret:
if not secrets.compare_digest(provided, self._settings.webhook_secret):
logger.warning("webhook_token_invalido", ip=request.remote)
return aiohttp.web.Response(status=403, text="Forbidden")
# Respuesta genérica — no revelar si es auth vs otro error
return aiohttp.web.Response(status=404, text="Not Found")
try:
body = await request.json()
@@ -155,7 +228,7 @@ class HealthServer:
"""Alerta al admin si el poller lleva más de health_alert_hours sin actualizar."""
global _alert_sent
while True:
await asyncio.sleep(300) # revisar cada 5 minutos
await asyncio.sleep(300)
if _last_poll_at is None or _alert_sent:
continue
delta = datetime.now(timezone.utc) - _last_poll_at

27
main.py
View File

@@ -7,6 +7,7 @@ Al arrancar: aplica migraciones y migra el tenant principal del .env si no exist
from __future__ import annotations
import asyncio
import os
import signal
import sys
@@ -71,8 +72,34 @@ async def _migrar_tenant_principal(settings) -> None:
logger.info("tenant_principal_migrado", chat_id=chat_id)
def _limpiar_env_sensibles() -> None:
"""
Elimina variables sensibles del entorno del proceso después de cargar Settings.
Protege contra:
- cat /proc/<pid>/environ (cualquier usuario con acceso al PID)
- herencia accidental de env vars por subprocesos
- stack traces que vuelquen os.environ
NO protege contra 'docker inspect' (que lee la config del contenedor, no el env live).
Para eso usar Docker secrets con Swarm mode.
"""
_sensibles = (
"FERNET_KEY",
"TELEGRAM_BOT_TOKEN",
"PJ_USUARIO_ENC",
"PJ_PASSWORD_ENC",
"WEBHOOK_SECRET",
"HEALTH_AUTH_TOKEN",
"INVITE_CODE",
)
for var in _sensibles:
os.environ.pop(var, None)
async def main() -> None:
settings = get_settings()
_limpiar_env_sensibles()
logger.info(
"pedrito_hechakuaa_iniciando",

View File

@@ -16,6 +16,9 @@ Estados:
"""
from __future__ import annotations
import asyncio
import secrets
import time
from pathlib import Path
from zoneinfo import ZoneInfo, ZoneInfoNotFoundError
@@ -201,13 +204,28 @@ class OnboardingFlow:
async def _paso_codigo(self, chat_id: int, codigo: str, update: Update) -> None:
codigo = codigo.strip()
# Registrar tiempo de inicio para garantizar respuesta de duración constante.
# Objetivo: ocultar la diferencia de tiempo entre "código no existe en DB"
# (~0.001ms) y "código existe pero ya fue usado" (~3-5ms de DB lookup).
t0 = time.monotonic()
# Primero: verificar contra la tabla de códigos de un solo uso (DB)
valido = await verificar_y_consumir_invite_code(codigo, chat_id)
# Fallback: código global del .env (ilimitado, para uso interno/pruebas)
# secrets.compare_digest previene timing attacks sobre el valor del .env
if not valido and self._settings.invite_code:
valido = (codigo == self._settings.invite_code)
valido = secrets.compare_digest(
codigo.encode("utf-8"),
self._settings.invite_code.encode("utf-8"),
)
# Garantizar un tiempo mínimo de 800ms independientemente del resultado.
# Esto hace que medir tiempos de respuesta no revele información sobre los códigos.
elapsed = time.monotonic() - t0
_MIN_RESP_SECS = 0.8
if elapsed < _MIN_RESP_SECS:
await asyncio.sleep(_MIN_RESP_SECS - elapsed)
if valido:
await audit.log("onboarding_codigo_correcto", chat_id=chat_id)

163
scripts/migrar_vault_v3.py Normal file
View File

@@ -0,0 +1,163 @@
#!/usr/bin/env python3
"""
scripts/migrar_vault_v3.py — Migración de credenciales v1 → v3 (PBKDF2 + envelope encryption).
Qué hace:
1. Lee FERNET_KEY del .env
2. Conecta a la DB y lista todos los tenants con credentials_enc
3. Saltea tenants ya en v3 (JSON, empieza con '{')
4. Para cada tenant v1: descifra con el algoritmo legacy, re-cifra con v3
5. Si algún tenant falla al descifrar: aborta SIN escribir nada
6. Si todo OK: hace backup de la DB, aplica todos los UPDATE en una transacción atómica
Uso:
python scripts/migrar_vault_v3.py # migra de verdad
python scripts/migrar_vault_v3.py --dry-run # solo muestra qué haría, no escribe
Seguridad:
- Las credenciales descifradas NUNCA se escriben en disco ni en logs
- El backup de la DB se hace ANTES de cualquier modificación
- Si el proceso se interrumpe a mitad, el backup permite restaurar
"""
from __future__ import annotations
import argparse
import asyncio
import shutil
import sys
from pathlib import Path
sys.path.insert(0, str(Path(__file__).parent.parent))
async def main() -> None:
parser = argparse.ArgumentParser(
description="Migra credenciales de vault v1 a v3 (PBKDF2 + envelope encryption)"
)
parser.add_argument(
"--dry-run",
action="store_true",
help="Muestra qué haría sin escribir nada en la DB",
)
args = parser.parse_args()
env_path = Path(".env")
if not env_path.exists():
print("ERROR: No encontré .env. Ejecutá desde el directorio raíz del proyecto.")
sys.exit(1)
# Leer FERNET_KEY del .env
import re
env_contenido = env_path.read_text(encoding="utf-8")
m = re.search(r"^FERNET_KEY=(.+)$", env_contenido, re.MULTILINE)
if not m or not m.group(1).strip():
print("ERROR: FERNET_KEY no encontrada o vacía en .env")
sys.exit(1)
fernet_key = m.group(1).strip()
from config import get_settings
from database import run_migrations, get_conn
import vault
settings = get_settings()
await run_migrations(settings.db_path)
conn = get_conn()
# Traer todos los tenants con credentials_enc
async with conn.execute(
"SELECT chat_id, credentials_enc FROM tenants WHERE credentials_enc IS NOT NULL"
) as cur:
tenants = list(await cur.fetchall())
if not tenants:
print("No hay tenants con credenciales en la DB. Nada que migrar.")
return
total = len(tenants)
ya_v3 = 0
a_migrar: list[tuple[int, str]] = [] # (chat_id, credentials_enc_v1)
for row in tenants:
if vault.es_formato_v3(row["credentials_enc"]):
ya_v3 += 1
else:
a_migrar.append((row["chat_id"], row["credentials_enc"]))
print()
print("=== Migración vault v1 → v3 ===")
print()
print(f" Tenants totales: {total}")
print(f" Ya en v3: {ya_v3} (se saltean)")
print(f" A migrar (v1): {len(a_migrar)}")
print()
if not a_migrar:
print(" Todos los tenants ya están en v3. Nada que hacer.")
return
if args.dry_run:
print(" [DRY RUN] Los siguientes tenants serían migrados:")
for chat_id, _ in a_migrar:
print(f" chat_id={chat_id}")
print()
print(" [DRY RUN] No se escribió nada.")
return
# Descifrar todos ANTES de tocar la DB — abortar si alguno falla
actualizaciones: list[tuple[str, int]] = [] # (nuevo_enc, chat_id)
errores: list[tuple[int, str]] = []
print(" Verificando que todos los v1 sean descifrables...")
for chat_id, credentials_enc in a_migrar:
try:
usuario, password = vault.descifrar_credenciales(chat_id, credentials_enc, fernet_key)
nuevo_enc = vault.cifrar_credenciales(chat_id, usuario, password, fernet_key)
actualizaciones.append((nuevo_enc, chat_id))
del usuario, password # no dejar en memoria más de lo necesario
except ValueError as e:
errores.append((chat_id, str(e)))
print(f" ERROR tenant {chat_id}: {e}")
if errores:
print()
print(f" {len(errores)} tenant(s) no pudieron descifrarse.")
print(" La DB NO fue modificada. Revisá los errores de arriba.")
sys.exit(1)
print(f" OK — {len(actualizaciones)} tenant(s) listos para migrar.")
print()
# Confirmar
confirmar = input(" Escribí 'migrar' para confirmar y escribir en la DB: ").strip()
if confirmar != "migrar":
print(" Operación cancelada.")
sys.exit(0)
# Backup de la DB ANTES de cualquier escritura
db_path = settings.db_path
bak_path = db_path.with_suffix(".db.bak")
shutil.copy2(db_path, bak_path)
print(f"\n Backup guardado en {bak_path}")
# Aplicar todos los UPDATE en una sola transacción
for nuevo_enc, chat_id in actualizaciones:
await conn.execute(
"UPDATE tenants SET credentials_enc = ? WHERE chat_id = ?",
(nuevo_enc, chat_id),
)
await conn.commit()
print(f" {len(actualizaciones)} tenant(s) migrados a v3.")
print()
print(" ✅ Migración completada.")
print(f" Backup de la DB anterior: {bak_path}")
print()
print(" Próximo paso: reiniciar el bot.")
print(" systemctl restart pedrito (en VPS con systemd)")
print(" docker compose restart (en VPS con Docker)")
print(" o Ctrl+C y uv run python main.py (en local)")
print()
if __name__ == "__main__":
asyncio.run(main())

View File

@@ -10,6 +10,7 @@ Responsabilidades:
from __future__ import annotations
import re
import unicodedata
from datetime import datetime, timezone
from typing import TYPE_CHECKING
from zoneinfo import ZoneInfo
@@ -47,6 +48,41 @@ logger = structlog.get_logger(__name__)
PJ_URL = "https://apps.csj.gov.py/gestion-partes/notificaciones-electronicas"
# ──────────────────────────────────────────────────────────────────────────────
# Mapeo de frases libres a comandos (sin LLM)
# ──────────────────────────────────────────────────────────────────────────────
_FRASES_COMANDOS: dict[str, str] = {
"novedades": "notif",
"actualizaciones": "notif",
"que hay nuevo": "notif",
"qué hay nuevo": "notif",
"hay algo nuevo": "notif",
"alguna novedad": "notif",
"notificaciones": "notif",
"notificacion": "notif",
"notificación": "notif",
"revisar": "notif",
"actualizar": "notif",
"estado": "estado",
"como estas": "estado",
"cómo estás": "estado",
"ayuda": "ayuda",
"help": "ayuda",
"que podes hacer": "ayuda",
"qué podés hacer": "ayuda",
"comandos": "ayuda",
}
def _normalizar(texto: str) -> str:
"""Lowercase, sin acentos, sin puntuación — para comparación de frases."""
texto = texto.lower().strip()
texto = unicodedata.normalize("NFD", texto)
texto = "".join(c for c in texto if unicodedata.category(c) != "Mn")
texto = re.sub(r"[^\w\s]", " ", texto)
return re.sub(r"\s+", " ", texto).strip()
# ──────────────────────────────────────────────────────────────────────────────
# Helpers de formato
# ──────────────────────────────────────────────────────────────────────────────
@@ -258,8 +294,10 @@ class PedritoBot:
return None
async def _rechazar_no_registrado(self, update: Update) -> None:
# Mensaje mínimo: no revela qué hace el bot ni su arquitectura interna.
# Solo dice que hay un comando /start, lo cual es estándar en todos los bots de Telegram.
await update.effective_message.reply_text( # type: ignore[union-attr]
"Primero tenés que registrarte\\. Escribí /start\\.",
"Para usar este bot escribí /start\\.",
parse_mode=ParseMode.MARKDOWN_V2,
)
@@ -624,6 +662,45 @@ class PedritoBot:
if self._onboarding.is_in_onboarding(chat_id):
await self._onboarding.handle_mensaje(update, context)
async def _intentar_mapear_comando(
self,
update: Update,
context: ContextTypes.DEFAULT_TYPE,
texto: str,
) -> bool:
"""
Intenta mapear texto libre a un comando conocido sin LLM.
Retorna True si encontró match y ejecutó el handler correspondiente.
"""
texto_norm = _normalizar(texto)
texto_lower = texto.lower()
# Regex especiales sobre texto original (preserva la "/")
m_exp = re.search(r"\bexp(?:ediente)?\b\s+(\d+(?:/\d+)?)", texto_lower)
if m_exp:
context.args = [m_exp.group(1)] # type: ignore[assignment]
await self.cmd_exp(update, context)
return True
m_pdf = re.search(r"\bpdf\b\s+(\d+/\d+)", texto_lower)
if m_pdf:
context.args = [m_pdf.group(1)] # type: ignore[assignment]
await self.cmd_pdf(update, context)
return True
# Matching por frases del diccionario
for frase, comando in _FRASES_COMANDOS.items():
if _normalizar(frase) in texto_norm:
if comando == "notif":
await self.cmd_notif(update, context)
elif comando == "estado":
await self.cmd_estado(update, context)
elif comando == "ayuda":
await self.cmd_ayuda(update, context)
return True
return False
async def handle_texto_libre(self, update: Update, context: ContextTypes.DEFAULT_TYPE) -> None:
"""Responde a texto que no es comando ni está en un flujo de onboarding."""
chat_id = update.effective_chat.id # type: ignore[union-attr]
@@ -633,11 +710,15 @@ class PedritoBot:
return # el onboarding lo maneja en handle_mensaje, no responder acá
tenant = await get_tenant(chat_id)
if tenant and tenant.get("estado") == "activo":
texto = _escape_md(_texto_tono("texto_no_reconocido", tenant))
else:
texto = _escape_md("Solo respondo comandos específicos. Escribí /ayuda para ver la lista.")
if not (tenant and tenant.get("estado") == "activo"):
# Usuarios sin registro: silencio total.
return
texto_original = (update.effective_message.text or "") # type: ignore[union-attr]
if await self._intentar_mapear_comando(update, context, texto_original):
return
texto = _escape_md(_texto_tono("texto_no_reconocido", tenant))
await update.effective_message.reply_text(texto, parse_mode=ParseMode.MARKDOWN_V2) # type: ignore[union-attr]
# ──────────────────────────────────────────────────────────────────────────

169
vault.py
View File

@@ -1,55 +1,182 @@
"""
vault.py — Cifrado de credenciales por tenant.
Cada tenant tiene sus credenciales cifradas con una clave derivada de:
FERNET_KEY (global, del .env) + str(chat_id) (único por tenant)
## Arquitectura v3: Envelope Encryption con PBKDF2 + DEK por tenant
Esto asegura que las credenciales de un tenant no se pueden descifrar
con solo la FERNET_KEY — hace falta también el chat_id.
Cada credencial se cifra en dos capas independientes:
1. DEK (Data Encryption Key): 32 bytes aleatorios, única por operación de cifrado.
2. KEK→Wrapping Key: derivada de FERNET_KEY usando PBKDF2-HMAC-SHA256 con salt único
por tenant. El salt se genera al cifrar y se guarda junto al ciphertext.
La KEK (FERNET_KEY del .env) nunca cifra datos directamente — solo envuelve la DEK.
Formato credentials_enc v3:
JSON compacto: {"v":3,"s":"<salt_b64>","k":"<dek_enc_b64>","p":"<payload_enc_b64>"}
s = salt de 16 bytes (base64url) para derivar la wrapping key via PBKDF2
k = DEK cifrada con Fernet(wrapping_key)
p = {"usuario": ..., "password": ...} cifrado con Fernet(DEK)
Ventajas sobre v1 (SHA256):
- PBKDF2 (600k iter): derivar la wrapping key cuesta ~200ms — fuerza bruta inviable
- Salt único por tenant: mismo FERNET_KEY + mismo password → ciphertexts distintos
- DEK aleatoria: comprometer una credencial no ayuda con las demás
- Dos capas: robar la DB sin FERNET_KEY es inútil; robar FERNET_KEY sin la DB también
## Formato v1 (legacy, solo lectura)
Fernet(SHA256(FERNET_KEY + str(chat_id))) — mantenido para migración desde el script
`scripts/migrar_vault_v3.py`. No se generan nuevos v1.
"""
from __future__ import annotations
import base64
import hashlib
import json
import os
from functools import lru_cache
import structlog
from cryptography.fernet import Fernet, InvalidToken
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
from utils.sanitize import scrub
logger = structlog.get_logger(__name__)
# PBKDF2: NIST SP 800-132 (2023) recomienda mínimo 600k iteraciones para SHA-256
_PBKDF2_ITERATIONS = 600_000
_SALT_BYTES = 16
_DEK_BYTES = 32
def _derive_key(fernet_key: str, chat_id: int) -> bytes:
"""Deriva una clave Fernet única por tenant usando SHA-256(fernet_key + chat_id)."""
raw = (fernet_key + str(chat_id)).encode()
digest = hashlib.sha256(raw).digest()
return base64.urlsafe_b64encode(digest)
def _derive_wrapping_key(kek: str, salt: bytes) -> bytes:
"""
Deriva una wrapping key de 32 bytes usando PBKDF2-HMAC-SHA256.
~200ms intencionalmente — hace fuerza bruta inviable incluso con GPU.
"""
kdf = PBKDF2HMAC(
algorithm=hashes.SHA256(),
length=_DEK_BYTES,
salt=salt,
iterations=_PBKDF2_ITERATIONS,
)
return base64.urlsafe_b64encode(kdf.derive(kek.encode("utf-8")))
@lru_cache(maxsize=256)
def _wrapping_key_cached(kek_fingerprint: str, salt_hex: str, kek: str) -> bytes:
"""
Cache de wrapping keys por (salt, kek) para no ejecutar PBKDF2 600k veces
en el mismo proceso cuando el poller revisa múltiples tenants.
kek_fingerprint es el SHA256[:8] de kek — sirve para invalidar entradas
si el FERNET_KEY cambia (nueva instancia del proceso).
"""
return _derive_wrapping_key(kek, bytes.fromhex(salt_hex))
def _get_wrapping_key(kek: str, salt: bytes) -> bytes:
"""Obtiene wrapping key del cache o la deriva si no está."""
fingerprint = hashlib.sha256(kek.encode()).hexdigest()[:8]
return _wrapping_key_cached(fingerprint, salt.hex(), kek)
# ── API pública ───────────────────────────────────────────────────────────────
def cifrar_credenciales(chat_id: int, usuario: str, password: str, fernet_key: str) -> str:
"""Retorna JSON cifrado con Fernet listo para guardar en DB."""
key = _derive_key(fernet_key, chat_id)
f = Fernet(key)
payload = json.dumps({"usuario": usuario, "password": password}).encode()
encrypted = f.encrypt(payload).decode()
logger.info("credenciales_cifradas", chat_id=chat_id)
return encrypted
"""
Cifra credenciales con envelope encryption v3.
Retorna JSON compacto listo para guardar en DB.
"""
# Capa 1: generar salt (para PBKDF2) y DEK aleatoria
salt = os.urandom(_SALT_BYTES)
dek_raw = os.urandom(_DEK_BYTES)
dek_b64 = base64.urlsafe_b64encode(dek_raw)
# Capa 2: cifrar DEK con wrapping key derivada de FERNET_KEY + salt
wrapping_key = _get_wrapping_key(fernet_key, salt)
f_wrap = Fernet(wrapping_key)
dek_enc = f_wrap.encrypt(dek_b64)
# Capa 3: cifrar payload con DEK
f_dek = Fernet(dek_b64)
payload_bytes = json.dumps({"usuario": usuario, "password": password}).encode()
payload_enc = f_dek.encrypt(payload_bytes)
envelope = {
"v": 3,
"s": base64.urlsafe_b64encode(salt).decode(),
"k": dek_enc.decode(),
"p": payload_enc.decode(),
}
logger.info("credenciales_cifradas_v3", chat_id=chat_id)
return json.dumps(envelope, separators=(",", ":"))
def descifrar_credenciales(chat_id: int, credentials_enc: str, fernet_key: str) -> tuple[str, str]:
"""
Retorna (usuario, password).
Levanta ValueError si no se puede descifrar (clave incorrecta o datos corruptos).
Descifra credenciales. Soporta v1 (legacy) y v3 (actual).
Levanta ValueError si no se puede descifrar.
"""
key = _derive_key(fernet_key, chat_id)
stripped = credentials_enc.strip()
if stripped.startswith("{"):
return _descifrar_v3(chat_id, stripped, fernet_key)
return _descifrar_v1(chat_id, stripped, fernet_key)
def es_formato_v3(credentials_enc: str) -> bool:
"""Retorna True si las credenciales ya están en formato v3."""
return credentials_enc.strip().startswith("{")
# ── Implementaciones internas ─────────────────────────────────────────────────
def _descifrar_v3(chat_id: int, credentials_enc: str, fernet_key: str) -> tuple[str, str]:
try:
envelope = json.loads(credentials_enc)
if envelope.get("v") != 3:
raise ValueError(f"Versión desconocida: {envelope.get('v')}")
salt = base64.urlsafe_b64decode(envelope["s"])
dek_enc = envelope["k"].encode()
payload_enc = envelope["p"].encode()
# Descifrar DEK con wrapping key derivada de PBKDF2
wrapping_key = _get_wrapping_key(fernet_key, salt)
f_wrap = Fernet(wrapping_key)
dek_b64 = f_wrap.decrypt(dek_enc)
# Descifrar payload con DEK
f_dek = Fernet(dek_b64)
payload = json.loads(f_dek.decrypt(payload_enc).decode())
return payload["usuario"], payload["password"]
except (InvalidToken, KeyError, ValueError, json.JSONDecodeError) as e:
logger.error("error_descifrar_v3", chat_id=chat_id, error=scrub(str(e)))
raise ValueError(
f"No se pudieron descifrar credenciales (v3) para chat_id={chat_id}"
) from e
def _descifrar_v1(chat_id: int, credentials_enc: str, fernet_key: str) -> tuple[str, str]:
"""
Legacy: clave derivada con SHA256(fernet_key + chat_id).
Disponible para migración — no se generan nuevas v1.
"""
raw = (fernet_key + str(chat_id)).encode()
key = base64.urlsafe_b64encode(hashlib.sha256(raw).digest())
f = Fernet(key)
try:
payload = json.loads(f.decrypt(credentials_enc.encode()).decode())
logger.warning("credenciales_v1_descifradas_migracion_pendiente", chat_id=chat_id)
return payload["usuario"], payload["password"]
except (InvalidToken, KeyError, ValueError) as e:
logger.error("error_descifrar_credenciales", chat_id=chat_id, error=scrub(str(e)))
logger.error("error_descifrar_v1", chat_id=chat_id, error=scrub(str(e)))
raise ValueError(
f"No se pudieron descifrar credenciales para chat_id={chat_id}"
f"No se pudieron descifrar credenciales (v1) para chat_id={chat_id}"
) from e