保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Privacidad
infoCWE-778

Sin Visualización de Última Actividad

No mostrar a los usuarios la última actividad de su cuenta dificulta que detecten accesos no autorizados.

Cómo Funciona

Cuando los usuarios ven 'Último acceso: Ayer a las 9:42 PM desde Chrome/Windows', pueden detectar inmediatamente si algo no coincide con su actividad. Esta simple función de transparencia — común en Google, Apple y apps bancarias — actúa como un sistema de alerta temprana para el compromiso de cuentas sin requerir infraestructura de seguridad adicional.

Código Vulnerable
// MAL: la página de configuración no muestra historial de actividad
// La página de configuración muestra: nombre, email, campos de contraseña
// Sin información del último login, sin lista de dispositivos, sin log de actividad
Código Seguro
// BIEN: muestra la última actividad para ayudar a los usuarios a detectar accesos no autorizados
// Guarda en cada login:
await db.sessions.create({
  userId, createdAt: new Date(),
  userAgent: req.headers['user-agent'],
  ipCountry: getCountryFromIP(req.ip)
});
// Muestra en configuración:
// 'Último acceso: hace 2 horas · Chrome en Windows · México'

Ejemplo Real

El link de 'Última actividad de la cuenta' de Google al final de Gmail es acreditado por investigadores de seguridad como uno de los mecanismos de detección de compromiso de cuenta más efectivos para usuarios regulares — porque no requiere conocimiento de seguridad, solo reconocimiento de patrones.

Cómo Prevenirlo

  • Loguea el timestamp de login, tipo de dispositivo y ubicación aproximada en cada autenticación
  • Muestra las últimas 5 sesiones en la configuración de cuenta con timestamps relativos
  • Permite a los usuarios hacer click en '¿No eres tú? Revocar esta sesión' directamente desde la lista de actividad
  • Envía un email de alerta si ocurre un login desde un nuevo país o dispositivo desconocido

Tecnologías Afectadas

javascript

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Privacidad

low

Operar sin una política de privacidad viola GDPR, CCPA y regulaciones similares — y hace que los usuarios desconfíen justificadamente del manejo de sus datos.

CWE-16

Sin Términos de Servicio

low

Sin términos de servicio, no tienes base legal para restringir el abuso, terminar cuentas o limitar tu responsabilidad por contenido generado por usuarios.

CWE-16

Sin Eliminación de Cuenta

medium

No ofrecer eliminación de cuenta viola el derecho de supresión del GDPR y el derecho a eliminar del CCPA — y es una señal de alerta de privacidad significativa para los usuarios.

CWE-16

Sin Banner de Cookies

low

Establecer cookies no esenciales sin consentimiento del usuario viola los requisitos del GDPR y la Directiva ePrivacy para usuarios de la UE.

CWE-16