Information disclosure: qué es y cómo funciona

Cuando comencé en el mundo del hacking, pensaba que para “hackear” una aplicación web era necesario explotar fallos complejos como inyecciones SQL, vulnerabilidades XSS o bugs difíciles de reproducir.

Y nada más lejos de la realidad.

Con el tiempo descubrí que uno de los errores más comunes y peligrosos es simplemente encontrar información sensible. Literalmente.

Una mala gestión de errores, un archivo olvidado en el servidor, un comentario en el código fuente… pueden revelar más de lo que imaginas. Y a veces, esa pequeña “filtración” de información es todo lo que un atacante necesita para comprometer toda una infraestructura. Esta vulnerabilidad se conoce como information disclosure y en este vídeo voy a explicarte qué es, cómo funciona y aprenderás a explotarla en un laboratorio práctico.

Antes de comenzar, es necesario que conozcas…

Qué es la vulnerabilidad information disclosure

La vulnerabilidad information disclosure ocurre cuando una aplicación web revela, de forma accidental o innecesaria, datos sensibles que deberían permanecer ocultos. Esta información puede ser expuesta a través de mensajes de error mal gestionados, respuestas del servidor mal configuradas, archivos olvidados o comentarios en el código fuente.

No se trata solo de contraseñas o claves privadas, aunque eso también sucede, sino de cualquier detalle que pueda ayudar a un atacante a comprender la estructura interna del sistema: versiones de software, rutas de directorios, nombres de usuarios, tokens, lógica de negocio, entre otros.

Cómo funciona la vulnerabilidad information disclosure

Esta vulnerabilidad suele aprovechar una falta de control en cómo la aplicación maneja sus respuestas ante entradas inesperadas o fallos internos. Algunos ejemplos pueden ser:

• Mensajes de error detallados: Cuando una excepción no es manejada adecuadamente, el sistema puede devolver trazas completas del stack (stack traces) revelando nombres de archivos, clases y configuraciones internas.
• Encabezados HTTP excesivamente informativos: Servidores web o aplicaciones que indican versión exacta del software, lenguaje o framework utilizado.
• Archivos de respaldo o configuración expuestos: Por ejemplo, .git, .env, backup.zip, config.old, etc.
• Comentarios en el código fuente HTML: Desarrolladores que dejan notas visibles que revelan rutas internas o funciones aún no publicadas. Esto lo suelo ver cuando las personas desarrollan apps con IA, que dejan comentado cual es el usuario y la contraseña

Qué impacto tiene la vulnerabilidad information disclosure

El principal riesgo de esta vulnerabilidad es que, por sí sola, puede no parecer crítica. Pero proporciona a los atacantes el contexto necesario para planear ataques más sofisticados.

Los posibles impactos incluyen:

• Identificación de versiones vulnerables de software.
• Descubrimiento de endpoints no documentados o internos.
• Exposición de secretos que comprometen otras capas del sistema (como claves privadas o tokens de acceso).
• Mayor efectividad en ataques dirigidos como fuzzing, brute force o explotación de lógica de negocio.

Además, en entornos regulados (como PCI-DSS o GDPR), la divulgación de información sensible puede significar multas significativas por incumplimiento normativo.

La primera vulnerabilidad que reporté en un programa de bug bounty fue un information disclosure y aunque no tenía impacto directo para el negocio, ellos marcaban esta información como confidencial o secreta. Y literalmente, encontré esta información de forma accidental buscando por Google.

Ahora que ya conoces cómo funciona la vulnerabilidad, vamos a realizar el laboratorio práctico.