Familiarízate con el informe de Verics

Si estás leyendo estas líneas es porque quieres familiarizarte con el entorno de Verics y con los informes que nuestra estupenda herramienta provee 🙂

IMPORTANTE. Cuidado con cómo ingresamos las direcciones web!

Existe una serie de consideraciones a tener en cuenta a la hora de introducir un dominio (dirección web) para que Verics analice correctamente la página web de la compañía y no se produzcan errores.

En el siguiente cuadro tienes unos ejemplos de los formatos que sí son aceptados para la adecuada realización del análisis, y los que no lo son.

DOMINIOS CORRECTOSDOMINIOS INCORRECTOS
http://www.example.comwww.example.com/es
http://example.comhttp://www.example.com/images/logos
https://www.example.com
https://example.com 
example.com

Una vez se ha terminado el análisis de una compañía, puedes ver el informe de la misma haciendo click en el botón <VER INFORME> de su correspondiente tarjeta.


Interpretar un informe.

A continuación te explicaremos las cuatro secciones esenciales en las que se divide un informe y te enseñaremos cómo interpretar la información mostrada:

Sección 1: Resumen del análisis.

Esta sección, te muestra un resumen de la principal información que Verics ha analizado de tu dominio. El objetivo es tener de un vistazo rápido la información importante y resumida de la web del cliente.

Como puedes comprobar en la siguiente imagen, en total tenemos cinco tarjetas diferentes en las que puedes entre otras cosas el total de filtraciones encontradas, el total de documentos analizados y todos los subdominios encontrados a partir del original.

– Compañía y dominio original.

Este es el nombre comercial que nos proporcionas para poder realizar el análisis del dominio, aunque también diferenciamos el nombre legal.

Si miramos los documentos con los que esta trabaja, el formato en el que están y la manera que tienen de agruparse, podemos obtener mucha información de ella, como podrás ver a lo largo de esta guía.

– Filtraciones encontradas.

Esta tarjeta te muestra el número total de las filtraciones encontradas que identifican a personas físicas:

  • Nombres
  • Apellidos
  • Emails personales
  • Etc.
– Subdominios encontrados.

Aquí puedes ver como Verics, además de proporcionarte información sobre las filtraciones y datos sensibles contenidos en los dominios, te muestra el número de Dominios + Subdominios que hemos encontrado.

El volumen de subdominios encontrados va a depender del tipo de empresa que sea, así como el número de documentos que manejen, cómo se agrupen y el formato que estos contengan.

– Documentos analizados.

Aquí puedes ver el total de todos los documentos que han sido analizados tanto en los dominios como en los subdominios encontrados de la web.

Este número también va a variar en función del tipo de empresa que sea y del tipo de documentos con los que trabaje.

– Funcionalidades extra.

Estos dos botones que encontrarás en la esquina superior derecha del resumen, copian en el portapapeles el link del informe para compartir con tus clientes o socios.

  • Botón amarillo: Copia el enlace al informe con los datos sin anonimizar.
  • Botón azul: Copia el enlace al informe con los datos anonimizados.

El utilizar uno u otro dependerá de tu propia estrategia corporativa.

Sección 2: Datos Filtrados y Sensibles.

En esta sección se muestran todas las filtraciones encontradas del dominio que hemos analizado. Nos permite obtener una visión general y estructurada del volumen de las filtraciones, así como visualizar las veces que se repite cada una de ellas y el porcentaje en el que estas aparecen en la web.

– Volumen de las filtraciones.

En el gráfico de barras te mostramos las filtraciones que más veces se repiten en los documentos que hemos analizado en un caso ejemplo, y el resto los agrupamos en “otros”.

Para identificar los datos que hemos encontrado en tus dominios, seguimos un esquema de clasificación en función de la información que estos contengan:

  • Filtraciones: Suponen un incumplimiento de GDPR:
    • Nombres y apellidos de personas físicas.
    • Emails personales.
    • DNIs.
  • Sensibles: Pueden suponer una brecha del reglamento si estas se asocian con otros datos:
    • Coordenadas GPS.
    • Direcciones.
  • Estilo: Ofrecen información acerca de las herramientas de sofware que se han usado para la creación y/o manipulación de esos archivos:
    • Herramientas ofimáticas.
    • Modelo de cámaras de fotos.
    • Modelos de impresoras y fotocopiadoras.
– Distribución de las filtraciones.

En el gráfico de sectores circulares, puedes ver qué volumen representan las filtraciones agrupadas por su frecuencia de aparición dentro de la totalidad de la web.

Con esta representación evidenciamos que las filtraciones que aparecen un número pequeño de veces, todas juntas representan el mayor volumen de filtraciones de la web.

– Detalle de los datos.

En esta tabla puedes ver un resumen de las filtraciones más importantes que hemos encontrado en los documentos de la web analizada.

  • Número de apariciones: Especifica el número de apariciones de cada filtración.
  • Dato: Muestra si esa filtración que hemos encontrado corresponde a un nombre, DNI, email personal, etc.
  • Severidad: Muestra la interpretación de esos datos en función de la clasificación que hemos descrito anteriormente.
  • Búsqueda directa: Te permite encontrar el perfil de la persona en redes como LinkedIn.
– Interpretación de los datos.

Si analizas la información de ambos gráficos de forma conjunta, puedes ver la implicación tan grande que tienen las pequeñas filtraciones de datos personales en la totalidad de la página web.

Como ya sabes, en el gráfico de barras aparecen las filtraciones que más veces se repiten. Éstas no suelen suponer un riesgo a la hora de incumplir el RGPD.

  • Personas físicas: Normalmente serán aquellos que generan el contenido de la web, de modo que es raro que representen un incumplimiento del reglamento ya que (por norma general) existirán las autorizaciones oportunas para que este tipo personas aparezcan.
  • Alias genéricos: Ejemplos como “Departamento de comunicación” o “Publicaciones” son algunas de los casos más comunes que hemos encontrado. Se vincula con canales de publicaciones más estrictos y centralizados.

Probablemente la parte más relevante en el gráfico de barras es la barra de “Otros”, pues se corresponde con la suma de todas las filtraciones que hemos detectado que aparecen pocas veces. Sin embargo todas ellas juntas, suponen de forma general un porcentaje enorme dentro de la totalidad de las filtraciones.

Estos casos son los problemáticos ya que dado el número de veces que aparecen, no suelen estar vinculados con la creación de contenido en la web. También, podríamos entender que estos documentos no han seguido los canales habituales de publicación, ya que de haber sido así se habrían sustituido estos datos por los alias genéricos de los departamentos de comunicación.

Por tanto es en estos casos donde hay que prestar especial atención a la hora de proteger esta información.

Sección 3: Dominios y Subdominios.

En este apartado puedes ver la cantidad de filtraciones y los datos sensibles que se han encontrado a partir del dominio que nos has facilitado, y de todos los subdominios que Verics ha descubierto durante el análisis.

Además, proporcionamos un mapa que te permite conocer la ubicación geográfica de los servidores utilizados para la web.

Si observas ambos gráficos, puedes ver la cantidad de riesgos que hay en tus dominios y subdominios, y donde estos se encuentran ubicados.

– Volumen de las filtraciones y datos sensibles en los dominios y subdominios.

Este gráfico muestra una barra por dominio/subdominio, y representan el volumen de filtraciones y datos sensibles contenidos en cada uno de ellos.

Para elaborarlo, hemos tomado todos los datos analizados de cada uno de ellos y establecido una relación entre el número de Filtraciones y Datos Sensibles.

– Distribución de los servidores.

Con este mapa puedes ver la geolocalización de los servidores que dan funcionamiento a la web. En función del país donde estos servidores se encuentren la normativa de protección de datos en vigor puede ser distinta y conviene tenerlo en cuenta.

Por este motivo es importante examinar y proteger los datos de tu empresa tomando las medidas necesarias que impliquen y ofrezcan seguridad, controlando los canales de publicación de documentos, para asegurarte de que no se publican datos de forma descontrolada.

– Detalles de los dominios.

En esta tabla puedes ver tres elementos importantes que resumen el contenido de los dominios de la página web:

  • País: Donde se encuentra localizado el servidor de los distintos dominios y subdominios.
  • Dominio: Nombre único que se le asigna a la página web en Internet.
  • Riesgos: El número total de las filtraciones y datos sensibles que hemos encontrado en el dominio.

Sección 4: Agrupación por tipos de archivo.

En esta sección, hemos agrupado los datos que han aparecido en tus documentos según el tipo de archivo donde los hemos encontrado.

De esta manera, podemos tener una visión global sobre el volumen de información que estamos exponiendo en la web, además de ver como se distribuyen estos datos según los tipos de documentos que hemos analizado y poder identificar cuales son los canales de publicación mas afectados.

– Volumen de los datos expuestos.

Aquí te ofrecemos una visión general sobre el volumen de datos expuestos en los archivos del dominio web. Para elaborar este gráfico tomamos todos los datos que hemos analizado y los agrupamos por tipo de archivo.

– Distribución de los datos expuestos.

A partir de la misma información que usamos para generar la visualización del volumen de datos expuestos, en este caso nos centramos en mostrar la distribución de la severidad de éstos en base al tipo de archivo que hemos analizado.

Con esta sub-agrupación, podemos identificar qué canales de publicación son los que están ocasionando un mayor número de filtraciones que no cumplen con el RGPD.

– Detalles de los datos.

La siguiente tabla te muestra un resumen de los datos representados en los gráficos anteriores de esta sección. Aquí tienes la posibilidad de explorar los detalles de lo que hemos encontrado, compartirlo con tu cliente o realizar algún otro tipo de análisis.

Casos representativos.

Dependiendo de a qué tipo de empresas o instituciones pertenezcan los dominios que has analizado, puedes extraer mucha información de un simple vistazo al observar cómo se agrupan estas exposiciones de datos, y qué tipos de documentos componen la web analizada.

Aquí te dejamos algunos de los ejemplos de casos más representativos:

– Instituciones públicas.

Se caracterizan por ser webs con una cantidad de documentos muy grande.

El número de documentos de aplicaciones ofimáticas (Libreoffice, Word, Excel, PowerPoint….) y PDFs en comparación con archivos, gráficos es muchísimo mayor dado como las administraciones suelen compartir la información.

Si no se cuidan los canales de publicación de documentos ofimáticos, éstos suelen presentar un elevado número de datos que suponen un incumplimiento de GDPR y normas de estilo. Sin embargo,como cabe esperar, no presentan información sobre coordenadas, direcciones, etc..

El origen de los documentos PDF es mucho mas variado. Esto es debido, a que la oferta de herramientas de publicación y generación de estos documentos, es múchisimo mayor que la oferta de herramientas ofimáticas. Esto hace que no haya un patrón claro en la naturaleza de los datos expuestos que podemos encontrar en documentos PDF.

– Empresas grandes.

Estas webs tambien presentan un número de documentos muy grande, pero el patrón en el tipo de archivos que encontramos es muy diferente.

A diferencia de las administraciones públicas, aquí hay muchos mas archivos de tipo:

  • PDF: Los canales de publicación de información suelen estar centralizados. De este modo, se controla que información que se incluye en los archivos que se hacen públicos es homogénea en todo el sitio web. La ventaja de esta aproximación es que, solamente hay “un único” punto de fallo a la hora de exponer datos y se tiene un control muy exhaustivo sobre los procesos de publicación. La desventaja es que si este punto falla, la exposición afecta a todo el sitio web (como el ejemplo de la gráfica)
  • Gráficos: (JPG, PNG…) En el entorno de las grandes empresas privadas, se invierte mucho más dinero en cuidar la imagen corporativa, y esto se refleja en la composición del tipo de archivos que componen la web.
  • HTML: Normalmente las estrategias de comunicación se apoyan en la creación de contenido en un blog propio, o en forma de ártículos dentro de su gestor de contenidos.
– Empresas pequeñas.

Estas webs son simplemente presenciales.

Se caracterizan por tener una tipología de tipos de archivos muy básica formada por:

  • Gráficos: (JPG, PNG…) Suelen obtenerse de bancos de imágenes. Los datos que clasificamos como filtraciones, están relacionados con los autores de estas fotografías. En estos contextos esto es deliberado ya que proporciona un elemento de publicidad muy económico para el autor.
  • HTML: El gigante de los gestores de contenidos para estas webs es WordPress, de modo que tiene sentido que estos archivos sean los predominantes contenedores de información en estas webs.

Compartir en facebook
Compartir en linkedin
Compartir en twitter
Compartir en email
Compartir en whatsapp
Compartir en telegram