docs: Añadir sección de seguridad a todos los servidores

- UFW configurado en 4/4 servidores con whitelist TZZR
- SSH hardening (PermitRootLogin prohibit-password, PasswordAuthentication no)
- SWAP 2GB en todos los servidores
- Backups automatizados documentados en ARCHITECT
- IPs bloqueadas documentadas en CORP

🤖 Generated with Claude Code

servers/HST.md

@@ -134,6 +134,38 @@ PONG
 - Alertas basadas en métricas
 - Integración con Slack y otros servicios
 
+## Seguridad
+
+### Firewall (UFW)
+```
+Status: active
+Default: deny incoming, allow outgoing
+
+Reglas:
+- ALLOW from 69.62.126.110 (ARCHITECT)
+- ALLOW from 72.62.1.113 (DECK)
+- ALLOW from 92.112.181.188 (CORP)
+- ALLOW 22/tcp (SSH)
+- ALLOW 80/tcp (HTTP)
+- ALLOW 443/tcp (HTTPS)
+- ALLOW 5000/tcp (HST-API)
+- ALLOW 8055/tcp (Directus)
+- ALLOW 8081/tcp (Apps)
+```
+
+### SSH Hardening
+```
+PermitRootLogin prohibit-password
+PasswordAuthentication no
+```
+Backup config: `/etc/ssh/sshd_config.bak`
+
+### SWAP
+```
+/swapfile 2GB (persistente en /etc/fstab)
+```
+
 ## Últimas Actualizaciones
 
+- 2025-12-30: UFW habilitado, SSH hardening, SWAP 2GB
 - 2025-12-30: Documentación inicial