¿Qué analizamos?
Las cookies almacenan información sensible como tokens de sesión. Si no están correctamente configuradas, un atacante puede robarlas y suplantar la identidad del usuario legítimo.
Flags verificados
Flag Secure
La cookie solo se envía por HTTPS, nunca en conexiones sin cifrar.
Flag HttpOnly
La cookie no es accesible desde JavaScript, protegiéndola de XSS.
Atributo SameSite
Controla si la cookie se envía en peticiones cross-site, previniendo CSRF.
Tiempo de expiración
Verificación de que las cookies de sesión no persisten indefinidamente.
¿Por qué es importante?
Una cookie de sesión robada permite al atacante acceder a la cuenta del usuario sin necesidad de conocer su contraseña. Ataques como XSS o sniffing de red pueden capturar cookies mal configuradas.
Impacto si falla
- Robo de sesiones de usuario (session hijacking)
- Acceso no autorizado a cuentas de usuarios
- Suplantación de identidad
- Compromiso de datos personales
Sanciones potenciales
| Tipo de empresa | Multa orientativa |
|---|---|
| Microempresa | 5.000 - 30.000 € |
| PYME | 30.000 - 200.000 € |
| Gran empresa | Hasta 10M € o 2% facturación |