Guía de usuario — LinceSec
Todo lo que necesitas saber para usar la plataforma: módulos de monitorización, gestión de alertas, cambio de estados, marcado de falsos positivos, gestión de usuarios y mucho más.
¿Qué es LinceSec?
LinceSec es una plataforma de threat intelligence y brand protection multi-tenant. Permite a equipos de seguridad monitorizar en tiempo real si la información de su organización ha sido comprometida, si existen dominios sospechosos que suplanten su marca, si se está publicando contenido ofensivo o si hay infraestructura expuesta involuntariamente a internet.
Acceso y gestión de tenants
Iniciar sesión
Accede a la URL de tu instancia de LinceSec. Introduce tu email y contraseña y pulsa Sign in.
Si tienes acceso a más de un tenant (organización), verás un selector con todos ellos. Selecciona el que quieras usar como contexto activo.
Serás redirigido al Dashboard. El nombre del tenant activo aparece en la barra lateral superior.
Cambiar de tenant
Si perteneces a más de un tenant, puedes cambiar de contexto en cualquier momento sin cerrar sesión. Haz clic sobre el nombre del tenant activo en la parte superior de la barra lateral. Se desplegará un menú con el resto de tenants disponibles. Al seleccionar uno, la vista se recarga mostrando los datos de esa organización.
El rol que tienes puede ser diferente en cada tenant. Por ejemplo, puedes ser Analyst en una organización y Manager en otra. Los permisos de cada sesión dependen del rol asignado en el tenant activo.
Cerrar sesión
Usa el botón de Logout situado al final de la barra lateral izquierda.
Navegación general
La interfaz principal está compuesta por una barra lateral a la izquierda y el contenido principal en el centro. La barra lateral agrupa las secciones en tres bloques:
| Bloque | Secciones |
|---|---|
| Principal | Dashboard, Provisioning Portal |
| Our modules | Data Leaks, Suspicious Domains, Critical Post, Darkweb, Infrastructure Exposure |
| Configuration | Users & Roles, Settings, Docs |
Si un módulo no está habilitado para tu tenant, al hacer clic serás redirigido a la página de Upgrade, donde puedes solicitar activarlo. Los módulos no habilitados se muestran igualmente en el menú para que sepas que existen.
Estados y severidades
Todos los registros de la plataforma (leaks, dominios, posts, etc.) tienen un estado y un nivel de severidad. Entender estos conceptos es fundamental para gestionar las alertas.
Estados posibles
| Estado | Indicador | Significado |
|---|---|---|
| ● Activo | Punto azul | Amenaza nueva o pendiente de gestión. Es la vista por defecto al entrar en cualquier módulo. |
| ✓ Resuelto | Punto verde | El equipo ha tomado acciones y considera el incidente cerrado (p.ej. contraseña cambiada, dominio bloqueado). |
| ⚠ Falso positivo | Punto amarillo | La detección no corresponde a una amenaza real. Se conserva para auditoría pero no requiere acción. |
| ✕ Eliminado | Punto gris | Registro descartado manualmente. Sigue siendo visible en la vista "Eliminados" por trazabilidad. |
Flujo de estados
Desde cualquier estado no-activo siempre es posible restaurar el registro a Activo.
Severidades
| Nivel | Descripción orientativa |
|---|---|
| CRITICAL | Impacto potencial inmediato: credenciales en texto plano, phishing activo con MX, infraestructura crítica expuesta. |
| HIGH | Riesgo elevado que requiere atención urgente pero no inmediata. |
| MEDIUM | Riesgo moderado. Planificar remediación a corto plazo. |
| LOW | Riesgo bajo. Monitorizar o aceptar como riesgo residual. |
La severidad es editable directamente desde la tabla o la tarjeta de cada registro. Un analista puede ajustarla manualmente si el criterio automático no refleja el contexto real de la organización.
Dashboard
Centro de operaciones
Visión consolidada del estado de seguridad del tenant activo.
El Dashboard tiene dos pestañas: Overview e Issues Summary.
Overview
- KPIs por módulo — Número total de alertas activas en cada módulo.
- Incidentes recientes — Listado de los últimos incidentes detectados ordenados por fecha.
- Últimas fugas — Preview de las credenciales o documentos más recientes encontrados.
Issues Summary
- Distribución por módulo — Gráfico del volumen de alertas abiertas entre módulos activos.
- Top amenazas por módulo — Las amenazas de mayor severidad de cada módulo.
- Selector de módulo activo — Haz clic en cualquier módulo para filtrar la vista.
Provisioning Portal
Activos monitorizados
Define qué dominios, palabras clave, personas VIP e IPs debe vigilar LinceSec para tu organización.
El Provisioning Portal es el lugar donde configuras el scope de la monitorización. Sin activos configurados, los módulos de detección no generarán alertas relevantes para tu organización.
Organizado en cuatro pestañas:
Dominios
Registra los dominios corporativos que LinceSec debe vigilar (p.ej. miempresa.com). El módulo de Data Leaks usará estos dominios para buscar credenciales comprometidas.
Escribe el dominio en el campo de texto (acepta subdominios como internal.acme.io).
Pulsa Enter o el botón Añadir.
El dominio aparece en la lista. Puedes editarlo (icono de lápiz) o eliminarlo (icono de papelera con confirmación).
Keywords / Marcas
Añade términos de marca que quieras monitorizar en contenido filtrado y redes sociales (p.ej. nombre de la empresa, nombres de producto, marcas registradas). Un término por campo.
VIPs
Registra personas cuya información personal debe vigilarse con mayor detalle. Cada VIP requiere nombre, email y cargo. En el módulo de Data Leaks, los registros asociados a emails de VIPs se destacan con un icono de corona (♛).
IPs
Registra direcciones IP corporativas para detección de exposición de infraestructura. Solo se admiten IPs en formato IPv4 (p.ej. 203.0.113.42).
Para editar un elemento, haz clic en el icono de lápiz al final de su fila. Para eliminar, usa el icono de papelera. Se pedirá confirmación antes de borrar definitivamente el registro.
Data Leaks
Credenciales y datos filtrados
Detecta si información de tu organización ha aparecido en brechas de datos.
Sub-módulos
| Pestaña | Qué contiene |
|---|---|
| Exposed Credentials | Combinaciones email/contraseña encontradas en bases de datos comprometidas. Muestra el tipo de contraseña e indica si el email pertenece a un VIP. |
| Leaked Documents | Documentos confidenciales detectados en fuentes abiertas o repositorios de fugas. |
| Pastebin Leaks | Publicaciones en plataformas tipo Pastebin que contienen datos relacionados con tu organización. |
| Code Leaks | Fragmentos de código fuente, tokens o secretos publicados en repositorios o foros. |
Interfaz de la tabla
- Búsqueda — Filtra en tiempo real por cualquier campo de la tabla.
- Rango de fechas — Limita los resultados al periodo indicado.
- Filtro VIP — En la pestaña Credentials, activa el botón VIP para ver solo credenciales de VIPs.
- Columnas visibles — Activa/desactiva columnas con los chips bajo los controles.
- Ordenación — Haz clic en los encabezados Date, Severity y Tipo para ordenar.
- Paginación — Navega con los botones Anterior/Siguiente.
Contraseñas ocultas
En la columna Password las contraseñas aparecen enmascaradas (••••••••) por defecto. Haz clic en el icono de ojo para revelarla. La columna Tipo indica si está en Texto plano o como Hash.
Las contraseñas en texto plano suponen riesgo inmediato — el atacante puede usarlas sin procesamiento adicional. Prioriza estos registros para su gestión.
Cambiar el estado de un registro
Individualmente
Con la vista en Activos, selecciona uno o más registros usando los checkboxes.
Aparecerá la barra de acciones en lote. Selecciona el nuevo estado en el desplegable (Resolved, False Positive, Deleted).
Confirma en el diálogo. Los registros pasarán a su nueva pestaña de estado.
Restaurar un registro
Desde cualquier vista que no sea Activos, selecciona los registros que deseas restaurar y usa el botón Restore en la barra de acciones en lote.
Cambiar la severidad
En la columna Severity de cada fila hay un selector desplegable. Selecciona el nivel deseado. El cambio se guarda automáticamente.
Acciones en lote
Selecciona múltiples registros (o el checkbox de cabecera para seleccionar toda la página). La barra de lote mostrará el número de seleccionados, el desplegable de estado, el botón Restore y el botón Clear.
Suspicious Domains
Dominios sospechosos
Detecta typosquatting, phishing y abuso de marca mediante dominios fraudulentos.
Categorías de dominios
| Categoría | Descripción |
|---|---|
| Monitorización | Dominios bajo vigilancia activa. Similares al dominio corporativo pero sin actividad maliciosa confirmada. |
| Abuso de marca | Dominios que usan el nombre de la marca de forma fraudulenta (typosquatting, combinaciones engañosas). |
| Phishing | Dominios que imitan la identidad de la organización con intención clara de engañar a usuarios. |
Tarjeta de dominio
- Nombre del dominio con enlace directo.
- País donde está registrado.
- Registrante — entidad que registró el dominio.
- Fecha de registro y fecha de expiración.
- MX Records — si el dominio puede enviar emails (mayor peligrosidad).
- Captura de pantalla si está disponible.
- Severidad (selector desplegable editable).
Acciones sobre un dominio
Cambiar estado desde la tarjeta
Despliega el selector Actions y elige el estado deseado (Resuelto, Eliminado, Activo).
O usa el botón rápido Falso positivo para marcarlo con un solo clic.
El punto de estado de la tarjeta cambiará inmediatamente.
Modal de detalles
Haz clic en el chip Details para abrir un modal completo desde el que también puedes cambiar estado, severidad, categoría y ver la captura de pantalla.
Filtros
- Búsqueda — Filtra por nombre de dominio o registrante.
- Filtro MX — Muestra solo dominios con/sin registros MX.
- Rango de fechas — Filtra por fecha de registro.
- Vista de estado — Activos, Resueltos, Falsos positivos o Eliminados.
Critical Posts
Contenido ofensivo en redes sociales
Monitoriza publicaciones en X, Reddit y Telegram relacionadas con tu organización.
Categorías
| Categoría | Descripción |
|---|---|
| Offensive Content | Publicaciones con lenguaje ofensivo, amenazas o contenido dañino dirigido a la organización o sus miembros. |
| Hacktivism | Llamadas a la acción hacktivista, campañas de defacement, DDoS anunciados o filtraciones coordinadas. |
| Activism | Publicaciones de activismo general que mencionan a la organización. Pueden derivar en presión pública o crisis de reputación. |
Información de cada post
- Plataforma — X (Twitter), Reddit o Telegram.
- Autor y seguidores del autor.
- Título y extracto del contenido.
- Fecha de publicación y enlace al post original.
- Evidencia — Indicador si hay captura archivada.
- Severidad editable.
Gestión de posts
- Cambiar estado (Activo / Resuelto / Falso positivo / Descartado) desde la tarjeta.
- Mover a otra categoría con los botones de categoría.
- Abrir el modal de detalles con información completa.
- Acceder al post original con el enlace externo.
Darkweb
Menciones en foros ocultos
Detecta menciones de tu organización en mercados, foros y canales de la dark web.
El módulo Darkweb rastrea fuentes de la dark web (foros de hacking, mercados de credenciales, canales privados) en busca de menciones de los dominios, marcas y activos configurados en el Provisioning Portal.
La interfaz y la gestión de estados sigue el mismo patrón que el resto de módulos: filtrado por estado, cambio de estado individual o en lote, ajuste de severidad y exportación de resultados.
Infrastructure Exposure
Servicios e infraestructura expuesta
Identifica activos corporativos accesibles desde internet de forma involuntaria.
Información de cada exposición
- Activo (host/IP) — Nombre del servidor o dirección IP expuesta.
- Puerto expuesto y servicio (SSH, VPN, SFTP, RDP, etc.).
- Fecha de detección y última vez visto.
- Vectores de ataque — Lista de vectores identificados.
- Descripción — Detalle del riesgo y actividad observada.
- Geolocalización — Ciudad y país del activo.
- Severidad editable.
Estados de infraestructura
| Estado | Descripción |
|---|---|
| Active | Exposición confirmada y activa. Requiere acción inmediata. |
| Monitoring | Bajo vigilancia. El equipo está haciendo seguimiento pero no ha remediado aún. |
| Remediated | La exposición ha sido corregida (puerto cerrado, credenciales rotadas, etc.). |
Usuarios y roles
Gestión del equipo
Solo accesible para usuarios con rol Administrator en el tenant activo.
La sección Users & Roles se divide en tres pestañas: Users, Roles y Audit Log.
Pestaña Users
Lista de usuarios
- Estado — Activo, pendiente de aceptar invitación o suspendido.
- Nombre y email.
- Rol global en el tenant.
- Equipos a los que pertenece y su rol en cada uno.
- MFA — Si tiene autenticación de dos factores habilitada.
- Última actividad.
Invitar un usuario
Pulsa el botón Invite User (esquina superior derecha).
Introduce el email y selecciona el rol que tendrá en el tenant.
Confirma. Si el usuario no existe, se creará con estado Pending y recibirá un email de invitación.
Editar un usuario
Haz clic en el icono de editar (lápiz) de cualquier fila para abrir el panel lateral:
- Rol global — Cambia el rol del usuario en el tenant.
- Equipos — Añade o quita el usuario de equipos y asigna su rol en cada uno.
- Permisos efectivos — Resumen informativo del rol global y roles por equipo.
Resetear MFA
Si un usuario ha perdido acceso a su app de autenticación, un administrador puede resetear su configuración MFA usando el icono de reinicio en la fila del usuario.
Acciones en lote
Selecciona varios usuarios con los checkboxes. Aparece la barra de acciones en lote con opciones: Cambiar rol, Cambiar estado, Reenviar invitación, Exportar, Asignar equipo.
Roles y permisos
Pestaña Roles
Muestra todos los roles del tenant organizados en dos grupos:
- System Roles — Roles predefinidos por la plataforma. No se pueden modificar ni eliminar.
- Custom Roles — Roles creados por administradores del tenant. Se pueden editar, duplicar y eliminar.
Roles de sistema
| Rol | Descripción |
|---|---|
| Administrator | Acceso completo. Gestiona usuarios, roles, provisioning y ajustes del tenant. Único rol con acceso a Users & Roles y Settings. |
| Manager | Puede ver y gestionar alertas en todos los módulos. Sin acceso a administración de usuarios. |
| Analyst | Puede ver y gestionar alertas. Acceso de trabajo estándar. |
| Read-only User | Solo puede consultar información. No puede cambiar estados, severidades ni gestionar alertas. |
Crear un rol personalizado
En la pestaña Roles, haz clic en el botón + junto a "Custom Roles".
Introduce el nombre y opcionalmente una descripción. Confirma con el formulario modal.
El nuevo rol se crea con todos los permisos desactivados. Selecciónalo para editar su matriz de permisos.
Activa los permisos deseados en la Matriz de permisos y pulsa Save.
Duplicar / Eliminar un rol
Al hacer hover sobre un rol custom aparecen los iconos de duplicar y eliminar. Solo se pueden borrar roles custom; se pedirá confirmación antes de borrar.
Pestaña Audit Log
Registro cronológico de acciones realizadas en el tenant: creación de usuarios, cambios de rol, resets de MFA, exportaciones, logins, etc. Cada entrada muestra timestamp, actor, acción, objetivo, detalles e IP de origen.
Usa el botón Export Audit (disponible estando en la pestaña Audit) para exportar el log.
Ajustes
La sección Settings solo es accesible para usuarios con rol Administrator en el tenant activo.
Contiene la configuración general del tenant: integraciones, notificaciones, preferencias de la plataforma y parámetros de alertas. Consulta con el administrador de la plataforma para modificar estos ajustes.
Upgrade de módulos
Si intentas acceder a un módulo que no está habilitado para tu tenant, la plataforma te redirige automáticamente a la página de Upgrade.
Los módulos disponibles para activar son:
- LEAKS — Data Leaks (credenciales, documentos, pastebin, código)
- SUSPICIOUS_DOMAINS — Suspicious Domains
- CRITICAL_POSTS — Critical Posts
- DARKWEB — Darkweb
- INFRALEAK — Infrastructure Exposure
Referencia rápida de acciones comunes
| Acción | Cómo hacerlo |
|---|---|
| Marcar como falso positivo | Selecciona el registro → barra de lote → False Positive. En Suspicious Domains también hay botón rápido en la tarjeta. |
| Marcar como resuelto | Selecciona → barra de lote → Resolved. O desde el modal de detalles. |
| Restaurar un registro | Vista del estado → selecciona → Restore. |
| Cambiar severidad | Desplegable de severidad en la fila o tarjeta. Guarda automáticamente. |
| Ver contraseña en texto claro | Haz clic en el icono de ojo en la columna Password. |
| Filtrar solo VIPs | Módulo Leaks → pestaña Credentials → botón VIP. |
| Mover dominio a otra categoría | Suspicious Domains → tarjeta → botón de categoría o modal → Mover a. |
| Invitar un usuario | Users & Roles → pestaña Users → Invite User. |
| Crear un rol personalizado | Users & Roles → pestaña Roles → botón + junto a Custom Roles. |
| Cambiar de tenant | Haz clic en el nombre del tenant en la barra lateral → selecciona otro. |
| Añadir dominio a monitorizar | Provisioning Portal → pestaña Dominios → introduce el dominio → Enter. |