Seguridad en EduDesk: autenticación en dos pasos y más
La seguridad en plataformas educativas no es un lujo: es una responsabilidad. EduDesk gestiona datos sensibles de menores, familias y centros educativos, por lo que hemos construido una arquitectura de seguridad multicapa que protege cada punto de acceso. En este artículo recorremos todas las medidas que mantenemos activas para que puedas confiar plenamente en la plataforma.
Autenticación en dos pasos (2FA)
La autenticación en dos pasos (2FA) añade una segunda barrera de seguridad más allá de la contraseña. Aunque alguien consiguiera tu clave, necesitaría además el código temporal que genera tu móvil. EduDesk implementa 2FA mediante el protocolo TOTP (Time-based One-Time Password), compatible con aplicaciones como Google Authenticator, Microsoft Authenticator o Authy.
1. Accede a Mi perfil → Seguridad → Autenticación en dos pasos.
2. Escanea el código QR con tu app de autenticación (Google Authenticator, Authy…).
3. Introduce el código de 6 dígitos para confirmar la vinculación.
4. Guarda los códigos de recuperación en un lugar seguro.
A partir de ese momento, cada inicio de sesión pedirá el código temporal.
HTTPS y cookies seguras
Toda la comunicación entre tu navegador y EduDesk viaja cifrada mediante TLS 1.3, el protocolo HTTPS más moderno. Esto garantiza que ningún intermediario pueda interceptar contraseñas, mensajes ni datos académicos. Las cookies de sesión se establecen siempre con los atributos Secure, HttpOnly y SameSite=Lax, lo que las hace inaccesibles desde JavaScript malicioso y protege frente a ataques CSRF.
Cabeceras de seguridad (CSP y más)
EduDesk envía en cada respuesta HTTP un conjunto de cabeceras de seguridad que los navegadores modernos interpretan para bloquear ataques comunes. Entre ellas destacan:
- Content-Security-Policy (CSP): define qué orígenes pueden cargar scripts, estilos e imágenes, bloqueando la inyección de código.
- X-Frame-Options: DENY: impide que la plataforma sea cargada dentro de un iframe (clickjacking).
- X-Content-Type-Options: nosniff: evita que el navegador interprete archivos con un tipo MIME incorrecto.
- Strict-Transport-Security (HSTS): obliga al navegador a usar siempre HTTPS.
- Referrer-Policy: controla qué información de referencia se comparte al navegar entre páginas.
Rate limiting y protección ante ataques de fuerza bruta
El sistema de rate limiting de EduDesk limita el número de intentos de inicio de sesión fallidos desde una misma dirección IP. Tras varios intentos incorrectos, la cuenta se bloquea temporalmente y se envía una alerta al usuario. Esto hace que los ataques de diccionario o fuerza bruta sean prácticamente inviables.
Política de contraseñas
EduDesk exige contraseñas robustas: mínimo 8 caracteres, combinando letras, números y caracteres especiales. Las contraseñas se almacenan usando el algoritmo bcrypt, de forma que ni el equipo técnico puede conocer tu clave. Además, el sistema detecta contraseñas comunes de diccionario y las rechaza automáticamente.
Gestión de sesiones
EduDesk te permite ver y revocar todas las sesiones activas desde Mi perfil → Seguridad → Sesiones activas. Verás el dispositivo, el navegador y la última actividad de cada sesión. Con un clic puedes cerrar cualquier sesión remota, ideal si olvidaste cerrar sesión en un ordenador compartido.
✔ 2FA mediante TOTP con app autenticadora
✔ HTTPS/TLS 1.3 en toda la plataforma
✔ Cookies seguras (Secure + HttpOnly + SameSite)
✔ Cabeceras CSP, HSTS, X-Frame-Options
✔ Rate limiting y bloqueo ante fuerza bruta
✔ Contraseñas cifradas con bcrypt
✔ Gestión y revocación de sesiones activas