¿Qué analizamos?
Buscamos archivos y directorios sensibles que no deberían ser accesibles desde Internet. Estos archivos pueden contener credenciales, código fuente, backups de bases de datos o configuraciones que comprometen la seguridad.
Archivos buscados
Repositorios .git
Directorio .git expuesto puede revelar todo el código fuente e historial.
Archivos .env
Variables de entorno con contraseñas, API keys y configuraciones.
Backups
Archivos .sql, .zip, .tar.gz con copias de seguridad expuestas.
Configuraciones
wp-config.php, config.php, settings.py y similares.
Logs
Archivos de log que pueden contener información sensible.
Paneles de administración
/admin, /wp-admin, /phpmyadmin y otros accesos.
¿Por qué es importante?
Un archivo .env expuesto puede contener las credenciales de base de datos, API keys de servicios de pago, o secretos de autenticación. Con esta información, un atacante puede comprometer completamente la aplicación.
Impacto si falla
- Exposición de credenciales y API keys
- Acceso completo al código fuente
- Robo de bases de datos completas
- Compromiso total del sistema
Sanciones potenciales
| Tipo de empresa | Multa orientativa |
|---|---|
| Microempresa | 10.000 - 100.000 € |
| PYME | 50.000 - 500.000 € |
| Gran empresa | Hasta 20M € o 4% facturación |