docs: Añadir nota seguridad - credenciales visibles en ps aux

Documentado que las notificaciones Telegram/SMTP via curl exponen credenciales temporalmente en la lista de procesos. Riesgo: bajo en servidores propios, mayor en servidores compartidos. Mejora futura: reemplazar curl por std.http.Client nativo. Detectado en auditoría Gemini 2025-12-19. 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2025-12-19 13:55:49 +01:00 · 2025-12-19 13:55:49 +01:00 · 24db7415e0
commit 24db7415e0
parent 3c34d1cc18
1 changed files with 17 additions and 1 deletions
--- a/CLAUDE.md
+++ b/CLAUDE.md
@ -1,10 +1,26 @@
 # service-monitor - Monitor de Servicios en Zig

-> **Ultima actualizacion**: 2025-12-08
+> **Ultima actualizacion**: 2025-12-19
 > **Lenguaje**: Zig 0.15.2
 > **Estado**: PROYECTO COMPLETADO v1.2
 > **Repositorio**: git@git.reugenio.com:reugenio/service-monitor.git

+## Nota de Seguridad
+
+⚠️ **Credenciales visibles en procesos**: Las notificaciones por Telegram y SMTP
+usan `curl` como subproceso. Esto significa que las credenciales (token de bot,
+usuario/contraseña SMTP) son visibles temporalmente en la lista de procesos
+(`ps aux`) mientras curl se ejecuta.
+
+**Implicaciones:**
+- En servidores compartidos, otros usuarios podrían ver las credenciales
+- En servidores propios (caso típico), el riesgo es mínimo
+
+**Mejora futura:** Reemplazar curl por `std.http.Client` nativo de Zig para
+eliminar esta exposición. Ver: `docs/auditorias/AUDITORIA_SERVICE_MONITOR.md`
+
+---
+
 ## Descripcion del Proyecto

 Monitor que verifica periodicamente que los servicios en nuestro servidor Hetzner (Simba) esten funcionando correctamente, con notificaciones si algo falla.