docs: Añadir sección de seguridad a todos los servidores

- UFW configurado en 4/4 servidores con whitelist TZZR
- SSH hardening (PermitRootLogin prohibit-password, PasswordAuthentication no)
- SWAP 2GB en todos los servidores
- Backups automatizados documentados en ARCHITECT
- IPs bloqueadas documentadas en CORP

🤖 Generated with Claude Code

servers/DECK.md

@@ -109,6 +109,37 @@ systemctl start grace
 tail -f /home/logs/grace.log
 ```
 
+## Seguridad
+
+### Firewall (UFW)
+```
+Status: active
+Default: deny incoming, allow outgoing
+
+Reglas:
+- ALLOW from 69.62.126.110 (ARCHITECT)
+- ALLOW from 92.112.181.188 (CORP)
+- ALLOW from 72.62.2.84 (HST)
+- ALLOW 22/tcp (SSH)
+- ALLOW 80/tcp (HTTP)
+- ALLOW 443/tcp (HTTPS)
+- ALLOW 25, 465, 587, 993, 995, 4190/tcp (Mail)
+- ALLOW 53 (DNS)
+```
+
+### SSH Hardening
+```
+PermitRootLogin prohibit-password
+PasswordAuthentication no
+```
+Backup config: `/etc/ssh/sshd_config.bak`
+
+### SWAP
+```
+/swapfile 2GB (persistente en /etc/fstab)
+```
+
 ## Últimas Actualizaciones
 
+- 2025-12-30: UFW habilitado, SSH hardening, SWAP 2GB
 - 2025-12-30: Documentación inicial