Configuración Multi-Operador
Configuración Multi-Operador
Sección titulada «Configuración Multi-Operador»XoloC2 soporta múltiples operadores simultáneos. Todos comparten la misma lista de sesiones, historial de tareas y chat del operador. El acceso se controla mediante un flag de rol único: admin vs operador.
Diferencias de rol
Sección titulada «Diferencias de rol»| Capacidad | Admin | Operador |
|---|---|---|
| Sesiones, tasking, stager, reportes | ✓ | ✓ |
| Chat del operador | ✓ | ✓ |
| Generador de beacons | ✓ | ✓ |
| Configuración (whitelist IPs, webhook, rotación de secret) | ✓ | ✓ |
| Gestión de usuarios (crear / eliminar cuentas) | ✓ | ✗ |
| Audit log | ✓ | ✗ |
La cuenta admin creada durante la instalación es la única con rol admin por defecto. Todas las cuentas creadas desde el panel son operadores.
Paso 1 — Crear una cuenta de operador
Sección titulada «Paso 1 — Crear una cuenta de operador»Inicia sesión como admin. Ve a Configuración > Usuarios y haz clic en Agregar Usuario.
Completa:
- Nombre de usuario — mínimo 3 caracteres
- Contraseña — mínimo 12 caracteres
La nueva cuenta se crea con must_change_password = true — el operador será forzado a establecer su propia contraseña en el primer login.
Paso 2 — Compartir credenciales de forma segura
Sección titulada «Paso 2 — Compartir credenciales de forma segura»Comparte la contraseña temporal fuera de banda (Signal, correo cifrado, etc.). El operador la cambia en el primer login.
Paso 3 — Recomendar MFA
Sección titulada «Paso 3 — Recomendar MFA»Pide al operador que active MFA TOTP después de su primer login. Ver la guía de configuración de MFA.
Puedes verificar el estado de MFA de todos los operadores desde Configuración > Usuarios — la columna MFA muestra activado/desactivado por cuenta.
Paso 4 — Revocar acceso
Sección titulada «Paso 4 — Revocar acceso»Para eliminar un operador, ve a Configuración > Usuarios y haz clic en Eliminar junto a su cuenta. La eliminación se registra en el audit log.
- No hay UI para ascender un operador a admin — requiere edición directa de la base de datos:
Ventana de terminal sqlite3 server/xoloc2.db "UPDATE users SET is_admin=1 WHERE username='nuevoadmin';" - Todos los operadores comparten el mismo pool de beacons — no hay aislamiento de sesión por operador
- El historial de tareas incluye el nombre de usuario del operador que envió cada tarea (visible en reportes y audit log)
- El chat del operador es compartido y persistido — todos los mensajes son visibles para todos los usuarios conectados