Added clarifying comments related to security

app/controllers/graphql_controller.rb

@@ -1,4 +1,7 @@
 class GraphqlController < ApplicationController
+
+  # (!!) Está autorizando todos los resources, no sólo Proposal ¿por qué?
+  # (!!) Nos da acceso a recursos a los que se supone que no tenemos acceso, cómo 'Geozones', ¿por qué?
   authorize_resource :proposal
 
   def query