Auditorías de Capa de Exposición de Datos

La finalidad de este tipo de auditoría es la de recabar información expuesta y datos que cualquier persona (y especialmente, una malintencionada) puede encontrar sobre una empresa en concreto y sobre sus activos digitales, usuarios y rutas internas gracias a metadatos, cuentas corporativas leakeadas (cuentas que hayan sido filtradas con anterioridad en alguna brecha de datos) y contraseñas reutilizadas. Toda esta inteligencia se puede recopilar con herramientas o aplicaciones de libre uso (y en su mayor parte de código abierto). Este tipo de auditorías podría considerarse a caballo entre una auditoría de riesgos y una auditoría de vulnerabilidades, ya que trata de dar visibilidad a la gran cantidad de información que las empresas publican y que podrían contener información subyacente, valiosa para los ciberdelincuentes.

OBJETIVOS DEL ANÁLISIS DE “DATA EXPOSURE”

• Recabar metadatos de los ficheros expuestos. Los metadatos son vitales a la hora de recuperar información útil sobre las características de una organización.
• Concienciar sobre la exposición incorrecta de servicios y puertos que no deberían ser visibles desde el exterior.
• Referenciar posibles filtraciones de credenciales o números de teléfono vinculados a cuentas corporativas, publicados previamente en internet para otros fines.
• Apoyar la mejora continua de los controles de seguridad (p. ej. la limpieza de metadatos durante la subida de ficheros publicados, borrado de cuentas externas sin uso, etc…).