Autenticación

La autenticación determina quién eres antes de que la plataforma decida qué puedes hacer. Mirox combina un inicio de sesión seguro, protección opcional de dos factores, visibilidad total de las sesiones y tokens de API de máquina a máquina para que solo tú — y las integraciones que autorices explícitamente — puedan acceder a tus datos.

Cómo inicias sesión

Inicias sesión con tu nombre de usuario o correo electrónico más tu contraseña. Un inicio de sesión correcto abre una sesión que te mantiene autenticado en toda la aplicación web sin tener que volver a introducir las credenciales en cada solicitud.

  • Registro solo por invitación — En producción, las nuevas cuentas se crean mediante una invitación. Si no tienes una invitación, puedes enviar una solicitud de acceso y se notificará a los operadores de la organización para que te inviten.
  • Verificación de correo electrónico — Las nuevas cuentas confirman su dirección a través de un enlace de verificación antes de activarse. Las cuentas creadas a partir de una invitación están preaprobadas.
  • Restablecimiento de contraseña — Puedes solicitar un enlace de restablecimiento en cualquier momento. Completar un restablecimiento cierra todas las sesiones activas y te avisa por correo electrónico.
  • Alertas de inicio de sesión — Recibes un correo electrónico cuando se produce un inicio de sesión desde un nuevo dispositivo o una nueva ubicación, y cuando falla un intento de acceso.

Información

Mirox nunca revela a un tercero si una dirección de correo electrónico tiene una cuenta. Las respuestas al restablecimiento de contraseña y a la solicitud de acceso son idénticas tanto si la dirección existe como si no, de modo que la superficie de inicio de sesión no filtra información de la cuenta.

Autenticación de dos factores

La autenticación de dos factores (2FA) añade una segunda prueba de identidad además de tu contraseña, mediante una contraseña de un solo uso basada en tiempo (TOTP) de una aplicación de autenticación.

  • Configuración — Inicia la configuración para recibir un código QR y un secreto que escanear en tu aplicación de autenticación. La 2FA solo se activa después de que confirmes un primer código, de modo que una aplicación mal configurada nunca puede dejarte fuera.
  • Aplicación en el inicio de sesión — Cuando la 2FA está activa, al iniciar sesión se solicita un código actual de 6 dígitos antes de conceder la sesión. La ventana del código tolera los intervalos adyacentes, por lo que un código que cambia a mitad de la introducción sigue funcionando.
  • Desactivar / comprobar — Puedes desactivar la 2FA con un código válido, o ejecutar desde tu perfil una verificación "comprobar mi código" que no realiza cambios para confirmar que tu aplicación está sincronizada.

Código de respaldo

Cuando activas la 2FA recibes un único código de respaldo de 8 caracteres. Úsalo si pierdes el acceso a tu aplicación de autenticación.

  • El código de respaldo es de un solo uso. En cuanto lo utilizas, se emite automáticamente un nuevo código de respaldo — anota el nuevo.
  • Puedes regenerar el código de respaldo en cualquier momento (con un código 2FA válido), lo que invalida el anterior.
  • Si inicias sesión con el código de respaldo a través del flujo de recuperación dedicado, la 2FA también se desactiva para que puedas volver a configurarla limpiamente.

Aviso

En todo momento solo tienes un código de respaldo — esto no es una lista imprimible de diez. Guarda el código actual en un lugar seguro y actualiza tu registro cada vez que se emita uno nuevo.

Gestión de sesiones

Cada dispositivo desde el que inicias sesión crea una sesión, y mantienes el control de todas ellas.

  • Ver tus sesiones — Consulta cada sesión activa con su ubicación (ciudad / país), navegador, sistema operativo y cuál es tu sesión actual.
  • Cerrar sesión de forma remota — Revoca cualquier otra sesión individualmente, o revoca todas las demás sesiones a la vez manteniendo la actual. Las sesiones revocadas dejan de funcionar de inmediato.
  • Identidad autogestionada — Cambia tu contraseña, nombre de usuario o correo electrónico desde tu perfil. Cambiar la contraseña cierra tus otras sesiones; cambiar el correo electrónico mantiene la dirección antigua activa hasta que se verifique la nueva.

Tokens de API

Para las integraciones y los scripts que se comunican con Mirox sin un navegador, creas tokens de API — credenciales de larga duración con alcance limitado a un grupo de permisos en lugar de a toda tu cuenta.

  • Acceso con alcance limitado — Cada token está vinculado a un grupo de permisos, por lo que solo puede hacer lo que ese grupo permite, nunca más que tu propio acceso.
  • Rotación — Rota un token para emitir un secreto nuevo y retirar el antiguo al instante, sin necesidad de eliminar y volver a crear la integración.
  • Visibilidad — Lista tus tokens para ver su grupo de permisos, las fechas de creación y caducidad, y dónde se usaron por última vez.

Crear o rotar un token requiere una sesión interactiva (con inicio de sesión) — un token nunca puede usarse para generar o rotar otro token. Consulta Tokens de API para conocer los grupos de permisos disponibles, los límites y los detalles de uso.

Limitación de tasa

Para mantener la plataforma estable y proteger las cuentas frente a intentos de fuerza bruta, el inicio de sesión y otros endpoints sensibles (inicio de sesión, registro, solicitudes de acceso, restablecimiento de contraseña y verificación de sesión) tienen una tasa limitada por usuario y por dirección IP pública.

Aviso

Cuando superas el límite, la solicitud devuelve una respuesta HTTP 429 (Too Many Requests) y el origen se ralentiza temporalmente. Incorpora una espera exponencial (exponential backoff) en cualquier integración automatizada para que una ráfaga de solicitudes no desencadene un bloqueo.

Acceso administrativo

En raras situaciones de soporte, un administrador de la plataforma Mirox puede acceder temporalmente a tu cuenta para investigar un problema en tu nombre.

  • Esto requiere un motivo registrado y queda anotado en un registro de auditoría dedicado.
  • Solo se puede acceder de esta forma a cuentas de usuario estándar — los administradores no pueden hacerlo entre ellos.
  • El acceso es de corta duración y termina automáticamente; mientras está activo, un banner hace visible el acceso.

Trabajar con el sistema de permisos

La autenticación responde a quién eres; el sistema de permisos responde a qué puedes alcanzar. Ambos funcionan conjuntamente en cada solicitud:

  1. La autenticación determina tu identidad a partir de tu sesión o token de API.
  2. El sistema de permisos evalúa qué puede hacer esa identidad.
  3. Cada operación se comprueba con tus permisos antes de ejecutarse.

Esta separación mantiene el control de acceso flexible sin debilitar la garantía de que solo ves tus propios recursos.

Funciones relacionadas

  • Sistema de permisos — cómo se evalúan los roles y el acceso a los recursos una vez que has iniciado sesión
  • Tokens de API — credenciales con alcance limitado y rotables para el acceso de máquina a máquina
  • Registro de auditoría — el registro inmutable de los accesos a tus plantas y dispositivos
  • Invitaciones — cómo se incorporan los nuevos usuarios y organizaciones
MIT Licensed | Copyright 2026 Mirox Verwaltungs GmbH