Seguridad activa: sesión segura, CSRF y bloqueo por intentos fallidos.