Por qué importa
El servidor te cuenta constantemente más de lo que muestra el navegador. Un frontend moderno recibe un error JSON completo y renderiza solo el amable campo message, descartando en silencio el stack, la excepción de base de datos y el detalle de depuración. Lee la respuesta en crudo en un proxy de interceptación como Burp Suite y ese detalle oculto se convierte en reconocimiento gratis.
La divulgación de información es uno de los hallazgos más comunes en bug bounty y el primer paso silencioso de muchas brechas reales, porque convierte el tanteo en un ataque dirigido. Está catalogada como CWE-200 y sustenta la fase de reconocimiento de casi toda evaluación web.
Fuentes comunes
- Trazas de pila: filtran el lenguaje, el framework, las rutas de archivos y los números de línea, a menudo desde una excepción no controlada.
- Errores de base de datos: filtran el motor, el nombre de la base de datos, las tablas y las columnas, la antesala perfecta para una inyección SQL.
- Cabeceras detalladas: los banners
ServeryX-Powered-Byrevelan el software y las versiones que un atacante puede emparejar con CVEs conocidas. - APIs que devuelven de más: endpoints que devuelven más campos de los que muestra la interfaz, a veces incluidos datos de otros usuarios o flags internos.
- Source maps, comentarios y endpoints de depuración: exponen lógica interna, rutas ocultas y, en ocasiones, secretos en el código.
Un ejemplo práctico
Un formulario de login muestra el mensaje genérico "el email o la contraseña proporcionados son incorrectos". La misma petición en un proxy devuelve un 401 cuyo JSON también arrastra un campo stack que apunta a /home/app/node_modules/payload/dist/auth/operations/login.js. En un solo login fallido quien audita ya sabe que el entorno de ejecución es Node.js, que el framework es Payload y las rutas exactas del servidor, nada de lo cual mostró el navegador. Ese detalle guía cada prueba que viene después.
Cómo lo usan los atacantes
Un nombre de framework filtrado apunta a vulnerabilidades conocidas. Una ruta de archivo filtrada permite a un atacante adivinar otros endpoints. Un nombre de tabla y de columna filtrado convierte un intento de inyección a ciegas en un UNION SELECT preciso. La divulgación en sí puede parecer inofensiva, pero elimina la incertidumbre que protege a la mayoría de los objetivos, y por eso los equipos de triaje siguen recompensándola aunque no se muestre ninguna explotación posterior.
Cómo probarla
Provoca errores a propósito y lee la respuesta en crudo. Envía tipos inesperados, elimina campos obligatorios, manda JSON malformado, solicita recursos inexistentes y compara una respuesta 500 con un 200 normal. Inspecciona cada cabecera, busca campos que la interfaz nunca muestra y revisa /.well-known/, los source maps y las respuestas de API detalladas. El hábito que importa es leer la respuesta que el servidor envió de verdad, no la página que dibujó el navegador.
Prevención
Muestra a los usuarios errores genéricos y guarda el detalle en registros del lado del servidor. Desactiva la salida de depuración en producción, elimina los banners de versión y asegúrate de que las APIs devuelvan solo los campos autorizados mediante modelos de respuesta explícitos. Y lo más importante: prueba tu propia aplicación a través de un proxy para ver las respuestas en crudo que los navegadores de tus usuarios están escondiendo.
Cómo enseñamos Divulgación de información
En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Divulgación de información en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.
Cubierto en:
Módulo 10: Pentesting y Hacking Ético
360+ horas de formación experta • CompTIA Security+ incluido