保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Privacidad
lowCWE-16

Sin Banner de Cookies

Establecer cookies no esenciales sin consentimiento del usuario viola los requisitos del GDPR y la Directiva ePrivacy para usuarios de la UE.

Cómo Funciona

GDPR y la Directiva ePrivacy de la UE requieren consentimiento explícito antes de establecer cookies no esenciales (analytics, publicidad, tracking). Las cookies estrictamente necesarias (sesión, autenticación) no requieren consentimiento. Sin un banner de cookies, ejecutar Google Analytics, PostHog o cualquier tracker de terceros en usuarios de la UE es una violación legal.

Código Vulnerable
// MAL: analytics inicializado inmediatamente sin verificación de consentimiento
// _app.tsx o layout.tsx
import posthog from 'posthog-js';
posthog.init('TU_KEY'); // se ejecuta antes de que el usuario pueda dar su consentimiento
Código Seguro
// BIEN: inicializa analytics solo después de que el usuario consiente
const [hasConsent, setHasConsent] = useState(
  () => localStorage.getItem('cookie-consent') === 'accepted'
);

useEffect(() => {
  if (hasConsent) {
    posthog.init('TU_KEY'); // solo después del consentimiento
  }
}, [hasConsent]);
// Muestra el componente CookieBanner si !hasConsent

Ejemplo Real

La autoridad francesa de protección de datos (CNIL) multó a Google con €150 millones y a Facebook con €60 millones en 2022 por hacer más difícil rechazar cookies que aceptarlas. La aplicación del consentimiento de cookies está activa y las penalizaciones son significativas.

Cómo Prevenirlo

  • Muestra un banner de consentimiento de cookies antes de inicializar cualquier script de analytics o publicidad
  • Haz que rechazar cookies sea tan fácil como aceptarlas — igual prominencia para los botones de aceptar/rechazar
  • Guarda la elección de consentimiento en localStorage y respétala en cada carga de página
  • Usa una plataforma de gestión de consentimiento (CMP) como Cookiebot para configuraciones complejas de cookies

Tecnologías Afectadas

javascript

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Privacidad

low

Operar sin una política de privacidad viola GDPR, CCPA y regulaciones similares — y hace que los usuarios desconfíen justificadamente del manejo de sus datos.

CWE-16

Sin Términos de Servicio

low

Sin términos de servicio, no tienes base legal para restringir el abuso, terminar cuentas o limitar tu responsabilidad por contenido generado por usuarios.

CWE-16

Sin Eliminación de Cuenta

medium

No ofrecer eliminación de cuenta viola el derecho de supresión del GDPR y el derecho a eliminar del CCPA — y es una señal de alerta de privacidad significativa para los usuarios.

CWE-16

Datos de Pago Almacenados Localmente

critical

Guardar números de tarjeta completos, CVVs o PANs en localStorage, sessionStorage o tu propia base de datos viola PCI DSS y crea una responsabilidad masiva.

CWE-312A02:2021