Descripción General
MRCA (Moodle Risk & Compliance Analyzer) es un plugin local de Moodle que realiza auditorías automatizadas de seguridad, privacidad y cumplimiento de tu instalación de Moodle. Escanea los plugins de terceros instalados en múltiples dimensiones de riesgo y produce un Índice de Riesgo del Sitio (0–100) unificado.
Por defecto, MRCA solo escanea plugins de terceros. Los módulos estándar de Moodle se excluyen para evitar falsos positivos.
¿Por qué MRCA?
En la Unión Europea, donde el RGPD es plenamente aplicable desde mayo de 2018, las instituciones educativas enfrentan obligaciones estrictas respecto al tratamiento de datos personales. Sin embargo, Moodle no proporciona ningún mecanismo nativo para auditar los plugins en cuanto a:
- Cumplimiento de privacidad
- Riesgos de seguridad
- Exposición de permisos
- Salud de dependencias
Escáneres de Arquitectura
MRCA contiene varios escáneres que producen la puntuación de riesgo:
- Escáner de Privacidad: Analiza las bases de datos en busca de PII y la implementación de la API de Privacidad.
- Escáner de Dependencias: Verifica la salud del plugin, dependencias faltantes y uso de APIs obsoletas.
- Escáner Estructural: Evalúa la calidad del código e identifica funciones PHP inseguras (eval, exec).
- Escáner de Capacidades: Analiza permisos de roles para riesgos de seguridad y anulaciones de capacidades críticas.
Puntuación de Riesgo
Cada plugin recibe sub-puntuaciones por Privacidad, Dependencias y Capacidades. El Índice de Riesgo del Sitio (IRS) es una puntuación normalizada 0-100 que define si una instalación de Moodle es Saludable (0-20) o Crítica (81-100).