DOCUMENTO LEGAL · PR-01

Política de privacidad

Última revisión: 23 de abril de 2026. Conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de este sitio es el titular de la plataforma OSINT Academy, que asume los deberes del artículo 5 RGPD (licitud, lealtad, transparencia, limitación de finalidad, minimización, exactitud, limitación del plazo, integridad y responsabilidad proactiva).

Antes de la puesta en producción pública debe cumplimentarse la identidad y el correo de contacto DPD si procede. Contacto para ejercicio de derechos: correo que figure en el pie de página.

2. Qué datos tratamos y con qué finalidad

2.1 Registro de usuario (necesario sólo si el alumno crea cuenta):

  • Nombre operativo (username). Se muestra en el ranking público.
  • Correo electrónico. Se usa como identificador alternativo al iniciar sesión. No se muestra en el ranking ni en el perfil público.
  • Contraseña. No se almacena en claro. Se guarda un hash Argon2id con sal aleatoria, parámetros: memoria 64 MiB, 3 iteraciones, paralelismo 1.

2.2 Datos de progreso académico:

  • Fecha y hora en que se marca un módulo como leído.
  • Retos resueltos, puntos brutos, puntos gastados en pistas y puntos netos obtenidos.
  • Pistas desbloqueadas y coste asociado.
  • Intentos de envío de flag (éxito o fallo) con marca temporal. Usado exclusivamente para limitar la tasa de intentos (anti-fuerza bruta) y se retiene por un máximo de 30 días.

2.3 Datos técnicos:

  • Dirección IP y agente de usuario, procesados por el servidor web (Nginx) y el rate limiter del backend únicamente durante la duración de la petición y en registros de acceso rotados a 14 días.
  • No se utilizan cookies de sesión propias: el token de autenticación (JWT) se guarda en el localStorage del navegador del usuario y nunca se transmite a terceros.
  • No se utilizan cookies de terceros, píxeles, analíticas externas ni publicidad.

3. Bases jurídicas del tratamiento

  • Ejecución de un servicio solicitado por el interesado (art. 6.1.b RGPD) para la gestión de la cuenta y del progreso formativo cuando el usuario decide registrarse.
  • Interés legítimo del responsable (art. 6.1.f RGPD) para los registros técnicos mínimos necesarios para la seguridad del servicio: limitación de tasa, detección de fuerza bruta y depuración. Se ha realizado el correspondiente juicio de ponderación favorable al tratamiento, dada la mínima intrusividad y el beneficio defensivo.

4. Plazos de conservación

  • Cuenta de usuario y progreso: mientras la cuenta permanezca activa. Cuando el usuario solicite la supresión, se elimina en un plazo máximo de 30 días salvo obligación legal de conservación.
  • Intentos de envío de flag: 30 días.
  • Registros de acceso del servidor web: 14 días.

5. Destinatarios

Los datos no se comunican a terceros. No se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo. El único encargado del tratamiento es el proveedor de infraestructura del VPS, con contrato de tratamiento según el artículo 28 RGPD.

6. Derechos del interesado

Puedes ejercer en cualquier momento los derechos reconocidos en los artículos 15 a 22 RGPD: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad. Envía tu solicitud, junto con una prueba de identidad razonable, al correo de contacto indicado en el pie de página. La respuesta se dará en el plazo máximo de un mes (art. 12.3 RGPD), prorrogable hasta dos meses en casos de especial complejidad.

Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

7. Medidas de seguridad

  • Cifrado en tránsito mediante TLS 1.2/1.3 con HSTS y OCSP stapling.
  • Contraseñas almacenadas con Argon2id y sal aleatoria; nunca se registran en logs.
  • Validación estricta de entrada con zod; protección contra XSS y cabeceras de seguridad vía helmet.
  • Limitación de tasa global (120 peticiones/min por IP) y reforzada en rutas de autenticación (10/min).
  • Proceso del backend ejecutado con usuario dedicado sin shell, NoNewPrivileges, ProtectSystem=strict y cuota de memoria limitada en systemd.
  • Copias de seguridad diarias del fichero SQLite, cifradas en reposo.

8. Menores de edad

El servicio no está dirigido a menores de 14 años. Quienes se registren declaran tener al menos esa edad (art. 7 LOPDGDD). Si detectamos un registro con datos de un menor por debajo del umbral, la cuenta se eliminará.

9. Cambios en esta política

Cualquier modificación sustancial se anunciará en esta página con actualización de la fecha de revisión. Las modificaciones no tendrán efecto retroactivo respecto a datos ya recabados.

← Aviso legal