Ir al contenido
XoloC2

Seguridad

Seguridad

Sección titulada «Seguridad»

Autenticación

Sección titulada «Autenticación»
  • JWT — todas las peticiones a la API requieren un token válido; expiración de sesión configurable
  • Contraseñas bcrypt — mínimo 12 caracteres obligatorio
  • Cambio forzado de contraseña en el primer login
  • Rate limiting — 10 intentos fallidos de login en 5 minutos activa un bloqueo de 15 minutos

TOTP / MFA

Sección titulada «TOTP / MFA»

Autenticación de dos factores basada en TOTP, compatible con Google Authenticator y cualquier aplicación TOTP estándar.

  • Activar desde Configuración de Cuenta después de iniciar sesión
  • Aprovisionamiento con código QR desde el panel
  • El admin puede obligar MFA para todos los operadores

Multi-operador

Sección titulada «Multi-operador»
  • Rol Admin — acceso completo, gestión de usuarios, audit log, configuración
  • Rol Operador — sesiones, tasking, stager, reportes — sin panel de administración

Crea y elimina cuentas de operador desde Configuración > Usuarios.

Whitelist de IPs

Sección titulada «Whitelist de IPs»

Restringe el acceso al panel a direcciones IP específicas. Los endpoints de beacon siempre omiten la whitelist — los beacons deben poder alcanzar el servidor desde cualquier IP.

Configura desde Configuración > Whitelist de IPs.

Rotación del Agent Secret

Sección titulada «Rotación del Agent Secret»

Rota el secret compartido del beacon desde Configuración > Seguridad. Los beacons activos reciben el nuevo secret en el siguiente check-in y se actualizan automáticamente. El secret antiguo sigue siendo válido hasta que todos los beacons hayan rotado.

Audit Log

Sección titulada «Audit Log»

Log con marcas de tiempo de todos los eventos relevantes para la seguridad, solo visible para admins:

LOGIN · LOGIN_FAIL · TASK_SENT · FILE_UPLOAD · AGENT_DELETED · USER_CREATED · USER_DELETED · PASSWORD_CHANGED · SECRET_ROTATED

Filtrable por usuario, tipo de acción y rango de fechas. Puede borrarse por el admin.

Notificaciones Webhook

Sección titulada «Notificaciones Webhook»

Alertas via Discord / Slack / cualquier webhook para eventos configurables:

  • Nuevo check-in de agente
  • Login de operador
  • Intento de login fallido
  • Agente eliminado
  • Tarea enviada

Cabeceras de Seguridad

Sección titulada «Cabeceras de Seguridad»

Todas las respuestas incluyen: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Strict-Transport-Security.