Cómo proteger tu revista OJS con autenticación de dos factores

Si gestionas una revista académica en Open Journal Systems (OJS), la seguridad debe ser una prioridad máxima. Las instalaciones de OJS son cada vez más el objetivo de los piratas informáticos, desde inyecciones de spam y secuestro de SEO hasta el acceso no autorizado a cuentas editoriales. Una revista comprometida no solo pierde datos; pierde credibilidad.

¿El paso más eficaz que puedes dar? Activar la autenticación de dos factores (2FA).

Por qué las revistas OJS son vulnerables

OJS es utilizado por más de 40.000 revistas en todo el mundo. Esa popularidad lo convierte en un objetivo. Los vectores de ataque más comunes incluyen:

  • Contraseñas débiles: los editores y revisores suelen utilizar contraseñas sencillas, especialmente cuando gestionan cuentas en varias revistas.
  • Cuentas compartidas: algunos equipos editoriales comparten credenciales de inicio de sesión, lo que imposibilita el seguimiento de quién hizo qué.
  • Instalaciones desactualizadas: muchas revistas ejecutan versiones antiguas de OJS con vulnerabilidades de seguridad conocidas.
  • Sin protección contra fuerza bruta: OJS no limita los intentos de inicio de sesión de forma predeterminada.

Una sola cuenta de administrador comprometida puede dar a un atacante el control total sobre tu revista: artículos publicados, identidades de los revisores, datos de los envíos y decisiones editoriales.

¿Qué es la autenticación de dos factores?

La autenticación de dos factores añade un segundo paso al proceso de inicio de sesión. Después de introducir la contraseña, los usuarios también deben proporcionar un código de un solo uso de una aplicación de autenticación (como Google Authenticator, Authy o 1Password). Incluso si alguien roba una contraseña, no puede iniciar sesión sin el código.

El estándar de la industria para esto es TOTP (Time-based One-Time Password), la misma tecnología utilizada por Google, GitHub y prácticamente todas las plataformas principales.

¿OJS admite 2FA de forma nativa?

No. OJS no tiene autenticación de dos factores integrada. Se basa en una autenticación sencilla de nombre de usuario/contraseña, con integración opcional de LDAP para las instituciones que lo utilizan.

Esto significa que necesitas un plugin.

Configuración de 2FA en OJS

El plugin de autenticación de dos factores para OJS añade la funcionalidad completa de 2FA basada en TOTP a tu revista. Esto es lo que ofrece:

Obligatoriedad basada en roles

No todos los usuarios necesitan 2FA. Un revisor que inicia sesión una vez para enviar una revisión tiene necesidades de seguridad diferentes a las de un gestor de la revista con acceso de administrador. El plugin te permite elegir qué roles requieren 2FA:

  • Administradores del sitio: siempre recomendado.
  • Gestores de la revista: muy recomendado.
  • Editores y editores de sección: recomendado.
  • Autores y revisores: opcional, dependiendo de tu política de seguridad.

Exigir un código en cada inicio de sesión puede ser frustrante, especialmente para los editores que inician sesión a diario. La función de navegador de confianza permite a los usuarios marcar sus dispositivos como de confianza durante un número configurable de días. Solo necesitarán el código de nuevo cuando expire el periodo de confianza o cuando inicien sesión desde un dispositivo nuevo.

Códigos de respaldo

Si un usuario pierde su teléfono o cambia de dispositivo, los códigos de respaldo garantizan que no se quede fuera. Cada usuario recibe un juego de códigos de respaldo de un solo uso durante la configuración que pueden utilizarse en lugar del código de autenticación.

Gestión inteligente de revisores

Los revisores externos suelen tener una interacción mínima con tu revista: inician sesión, envían una revisión y se van. Obligarlos a configurar el 2FA puede crear fricciones y retrasar las revisiones. El plugin gestiona esto con elegancia, permitiéndote eximir a las cuentas que solo son de revisores de los requisitos de 2FA.

Controles de administración

Los gestores de la revista pueden:

  • Ver qué usuarios tienen activado el 2FA.
  • Restablecer el 2FA para los usuarios que pierdan el acceso a su autenticador.
  • Supervisar la adopción del 2FA en todo el equipo editorial.

Más allá del 2FA: Otras medidas de seguridad

La autenticación de dos factores es el cambio individual más impactante, pero la buena seguridad se basa en capas:

  1. Mantén OJS actualizado: instala los parches de seguridad con prontitud.
  2. Usa HTTPS: habilita force_ssl = On en config.inc.php.
  3. Contraseñas seguras: exige requisitos mínimos de contraseña.
  4. Copias de seguridad periódicas: copias de seguridad diarias de la base de datos y los archivos, almacenadas fuera del servidor.
  5. Limita el acceso de administrador: da los roles de Administrador del sitio o Gestor de la revista solo a las personas que realmente los necesiten.
  6. Instala plugins de fuentes de confianza: utiliza solo plugins de la Galería de Plugins de PKP o de desarrolladores verificados.

Cómo empezar

El plugin de autenticación de dos factores se instala en menos de 5 minutos: sube el ZIP a través de la Galería de Plugins, actívalo y configura qué roles requieren 2FA.

Tu equipo editorial será guiado a través del proceso de configuración en su próximo inicio de sesión, con instrucciones claras para escanear el código QR con su aplicación de autenticación preferida.

No esperes a un incidente de seguridad. Proteger la integridad de tu revista y los datos de tus colaboradores empieza con un solo paso.

Más información sobre el plugin de autenticación de dos factores →

← Todos los artículos