Plataforma de Ciberinteligencia Avanzada

LinceSec

Te advertimos de lo que otros callan

Monitorizamos tu superficie digital en tiempo real — filtraciones, dominios fraudulentos, exposición de infraestructura, publicaciones críticas y la dark web — para que actúes antes de que el daño sea irreversible.

Lanzamiento próximo

Lanzamiento · 1 de Agosto de 2026

00
Días
00
Horas
00
Minutos
00
Segundos

Inteligencia que no se improvisa

Cada módulo cubre un frente de exposición distinto. Juntos, ofrecen una visión completa de tu huella digital antes de que lo haga un atacante.

Data Leaks

Credenciales, correos y datos sensibles filtrados en brechas públicas, dumps y repositorios expuestos.

Ver módulo

Suspicious Domains

Dominios typosquatting, homógrafos y sitios de phishing que suplantan tu marca para engañar a tus clientes.

Ver módulo

Infrastructure Exposure

Puertos, servicios y activos cloud expuestos en tu superficie de ataque externa, incluyendo CVEs activos.

Ver módulo

Critical Posts

Publicaciones de alto riesgo en redes sociales y foros que dañen la reputación o expongan datos de tu organización.

Ver módulo

Dark Web

Vigilancia en mercados y foros clandestinos para detectar la venta de accesos, datos y ataques dirigidos a tu empresa.

Ver módulo

Hecho por expertos. Pensado para todos.

Una plataforma que los equipos técnicos aprecian y los perfiles no técnicos pueden operar desde el primer minuto, sin fricciones ni curvas de aprendizaje.

Portal intuitivo para cualquier perfil

Diseñado para equipos de todos los niveles, técnicos y no técnicos. Analistas de SOC, CISOs, equipos legales o de comunicación: todos encuentran lo que necesitan sin formación previa ni dependencia del departamento IT.

No requiere conocimiento técnico

Bajo índice de falso positivo

Las alertas que recibes son reales y están contextualizadas. Aplicamos múltiples capas de validación antes de notificarte, para que cada hallazgo sea directamente accionable sin necesidad de triage profundo ni investigación adicional.

Señal, no ruido

Reducción máxima del nivel N1

LinceSec está concebido para eliminar la carga de clasificación que consume a los equipos de primer nivel. Las alertas llegan ya priorizadas, con contexto suficiente para pasar directamente a la respuesta, reduciendo el volumen de tickets sin valor añadido.

Menos N1, más respuesta real

Adopción plug & play

Sin integraciones complejas, sin agentes que instalar, sin semanas de onboarding. Configuras tus activos — dominios, correos, rangos IP, marcas — y la plataforma empieza a monitorizar de inmediato. Operativo desde el primer día.

Activo en minutos

Construido por expertos en seguridad

LinceSec nace de años de experiencia en ciberinteligencia, respuesta a incidentes y operaciones de red team. Cada módulo, cada fuente y cada lógica de detección ha sido diseñada por profesionales que conocen de primera mano cómo piensan y actúan los atacantes reales — no por ingenieros de software que interpretan papers.

Inteligencia con experiencia real detrás

Data Leaks

Tus datos ya podrían estar en manos equivocadas

Cada día se publican millones de registros robados en foros underground, canales de Telegram y mercados de la dark web. Muchos contienen credenciales de empleados, tokens de acceso o documentos que nunca debieron salir de tu organización. LinceSec los detecta en tiempo real y te alerta antes de que un atacante los use.

Credenciales corporativas en dumps conocidos y fuentes propias de inteligencia
Contraseñas en texto claro o hashes de cuentas asociadas a tu dominio
Correos empresariales en listas de spam, data brokers y bases de marketing ilegal
Tokens, API keys y secretos hardcodeados en repositorios públicos de GitHub, GitLab o Bitbucket
Documentos internos, contratos y capturas publicados en Pastebin, Telegram y canales similares
Datos de tarjetas de pago de clientes asociadas a tu dominio en canales de carding
Una sola credencial filtrada puede ser el vector de entrada de un ataque de ransomware. El tiempo medio de detección de una brecha es de 194 días — LinceSec te avisa en minutos, cuando aún puedes actuar.

Suspicious Domains

Alguien ya usa tu nombre para engañar a tus clientes

Los atacantes registran dominios que imitan el tuyo para lanzar campañas de phishing, distribuir malware o interceptar comunicaciones. Con variaciones tipográficas, caracteres Unicode y patrones de marca, crean sitios casi indistinguibles del original, a los que tus clientes acceden confiados.

Dominios typosquatting con errores tipográficos comunes de tu nombre de marca
Homógrafos con caracteres Unicode visualmente idénticos a los del alfabeto latino
Registros con patrones marca+keyword (tu-marca-login.com, tu-marca-secure.net)
Sitios activos que clonan el diseño de tu web para suplantar tu identidad ante usuarios
Certificados SSL emitidos bajo nombres de dominio que imitan el tuyo
Registros MX que intentan interceptar correos dirigidos a tu dominio corporativo
Tus clientes no distinguen entre tu dominio real y uno malicioso. Cuando caen en una trampa de phishing bajo tu nombre, el daño reputacional recae sobre ti, aunque no hayas sido el origen del ataque.

Infrastructure Exposure

Tu perímetro tiene más puertas abiertas de las que crees

La transformación digital expande la superficie de ataque más rápido de lo que los equipos de seguridad pueden gestionar. Activos olvidados, configuraciones por defecto y servicios inadvertidamente expuestos son los vectores más frecuentes en ataques reales — y los más evitables con visibilidad externa continua.

Puertos y servicios abiertos en rangos IP corporativos y entornos cloud
Paneles de administración accesibles desde internet: RDP, SSH, consolas de gestión
Bases de datos sin autenticación expuestas públicamente (MongoDB, Elasticsearch, Redis)
APIs REST y GraphQL sin control de acceso que exponen datos sensibles
Buckets de almacenamiento en la nube mal configurados con lectura pública
Software obsoleto con CVEs conocidos y explotables en activos accesibles
Subdominios huérfanos susceptibles de subdomain takeover
El 60% de las brechas explotan vulnerabilidades conocidas para las que ya existía parche disponible. La exposición invisible es la más peligrosa — porque ni tú ni tu equipo saben que está ahí.

Critical Posts

Tu reputación se destruye en segundos, se recupera en meses

Las redes sociales y los foros especializados son hoy parte del campo de batalla digital. Campañas de desinformación, filtraciones orquestadas y ataques coordinados de reputación pueden comenzar en un hilo de Reddit y acabar en portada de periódico en cuestión de horas.

Publicaciones con datos internos, credenciales o capturas de pantalla confidenciales
Campañas de desprestigio coordinadas en Twitter/X, LinkedIn, Reddit o Telegram
Menciones en foros underground donde se planifican acciones contra tu organización
Suplantación de cuentas oficiales de la empresa o de directivos clave
Contenido deepfake o desinformación generada con IA usando tu imagen corporativa
Coordinación de review bombing o ataques masivos a plataformas de valoraciones
Una campaña de daño reputacional bien ejecutada puede costar a una empresa hasta un 22% de su valor en semanas. La detección temprana permite responder antes de que el daño se vuelva viral e irreversible.

Dark Web

Lo que no puedes ver también puede destruirte

La dark web no es solo un mercado ilegal: es donde actores de amenaza compran accesos a empresas, planifican ataques, intercambian herramientas y coordinan operaciones. Sin visibilidad en ese espacio, operas a ciegas frente a tus adversarios más sofisticados.

Venta de accesos iniciales (VPN, RDP, paneles) a tu infraestructura en markets especializados
Anuncios de afiliados de ransomware buscando accesos a organizaciones de tu sector
Datos personales de empleados y clientes en foros de trading de información robada
Menciones de tu marca, dominio o directivos en chats privados de actores de amenaza
Ofertas de ataques bajo demanda (DDoS, doxxing, smishing) dirigidas a tu empresa
Filtraciones anunciadas antes de hacerse públicas, con tiempo para responder
El tiempo medio entre la venta de un acceso inicial y el despliegue de ransomware es de 5 días. Monitorizar la dark web no es una opción — es la diferencia entre anticiparse y gestionar una crisis.
Documentación oficial

Guía de usuario — LinceSec

Todo lo que necesitas saber para usar la plataforma: módulos de monitorización, gestión de alertas, cambio de estados, marcado de falsos positivos, gestión de usuarios y mucho más.

¿Qué es LinceSec?

LinceSec es una plataforma de threat intelligence y brand protection multi-tenant. Permite a equipos de seguridad monitorizar en tiempo real si la información de su organización ha sido comprometida, si existen dominios sospechosos que suplanten su marca, si se está publicando contenido ofensivo o si hay infraestructura expuesta involuntariamente a internet.

Data Leaks
Credenciales y documentos filtrados
Suspicious Domains
Phishing y abuso de marca
Critical Posts
Contenido ofensivo en redes sociales
Darkweb
Menciones en foros ocultos
Infra Exposure
Servicios y puertos expuestos

Acceso y gestión de tenants

Iniciar sesión

1

Accede a la URL de tu instancia de LinceSec. Introduce tu email y contraseña y pulsa Sign in.

2

Si tienes acceso a más de un tenant (organización), verás un selector con todos ellos. Selecciona el que quieras usar como contexto activo.

3

Serás redirigido al Dashboard. El nombre del tenant activo aparece en la barra lateral superior.

Cambiar de tenant

Si perteneces a más de un tenant, puedes cambiar de contexto en cualquier momento sin cerrar sesión. Haz clic sobre el nombre del tenant activo en la parte superior de la barra lateral. Se desplegará un menú con el resto de tenants disponibles. Al seleccionar uno, la vista se recarga mostrando los datos de esa organización.

Nota

El rol que tienes puede ser diferente en cada tenant. Por ejemplo, puedes ser Analyst en una organización y Manager en otra. Los permisos de cada sesión dependen del rol asignado en el tenant activo.

Cerrar sesión

Usa el botón de Logout situado al final de la barra lateral izquierda.

Navegación general

La interfaz principal está compuesta por una barra lateral a la izquierda y el contenido principal en el centro. La barra lateral agrupa las secciones en tres bloques:

BloqueSecciones
PrincipalDashboard, Provisioning Portal
Our modulesData Leaks, Suspicious Domains, Critical Post, Darkweb, Infrastructure Exposure
ConfigurationUsers & Roles, Settings, Docs
Módulos no habilitados

Si un módulo no está habilitado para tu tenant, al hacer clic serás redirigido a la página de Upgrade, donde puedes solicitar activarlo. Los módulos no habilitados se muestran igualmente en el menú para que sepas que existen.

Estados y severidades

Todos los registros de la plataforma (leaks, dominios, posts, etc.) tienen un estado y un nivel de severidad. Entender estos conceptos es fundamental para gestionar las alertas.

Estados posibles

EstadoIndicadorSignificado
● ActivoPunto azulAmenaza nueva o pendiente de gestión. Es la vista por defecto al entrar en cualquier módulo.
✓ ResueltoPunto verdeEl equipo ha tomado acciones y considera el incidente cerrado (p.ej. contraseña cambiada, dominio bloqueado).
⚠ Falso positivoPunto amarilloLa detección no corresponde a una amenaza real. Se conserva para auditoría pero no requiere acción.
✕ EliminadoPunto grisRegistro descartado manualmente. Sigue siendo visible en la vista "Eliminados" por trazabilidad.

Flujo de estados

ActivoResuelto  |  ActivoFalso positivo  |  ActivoEliminado

Desde cualquier estado no-activo siempre es posible restaurar el registro a Activo.

Severidades

NivelDescripción orientativa
CRITICALImpacto potencial inmediato: credenciales en texto plano, phishing activo con MX, infraestructura crítica expuesta.
HIGHRiesgo elevado que requiere atención urgente pero no inmediata.
MEDIUMRiesgo moderado. Planificar remediación a corto plazo.
LOWRiesgo bajo. Monitorizar o aceptar como riesgo residual.
Consejo

La severidad es editable directamente desde la tabla o la tarjeta de cada registro. Un analista puede ajustarla manualmente si el criterio automático no refleja el contexto real de la organización.

Dashboard

Centro de operaciones

Visión consolidada del estado de seguridad del tenant activo.

El Dashboard tiene dos pestañas: Overview e Issues Summary.

Overview

  • KPIs por módulo — Número total de alertas activas en cada módulo.
  • Incidentes recientes — Listado de los últimos incidentes detectados ordenados por fecha.
  • Últimas fugas — Preview de las credenciales o documentos más recientes encontrados.

Issues Summary

  • Distribución por módulo — Gráfico del volumen de alertas abiertas entre módulos activos.
  • Top amenazas por módulo — Las amenazas de mayor severidad de cada módulo.
  • Selector de módulo activo — Haz clic en cualquier módulo para filtrar la vista.

Provisioning Portal

Activos monitorizados

Define qué dominios, palabras clave, personas VIP e IPs debe vigilar LinceSec para tu organización.

El Provisioning Portal es el lugar donde configuras el scope de la monitorización. Sin activos configurados, los módulos de detección no generarán alertas relevantes para tu organización.

Organizado en cuatro pestañas:

Dominios

Registra los dominios corporativos que LinceSec debe vigilar (p.ej. miempresa.com). El módulo de Data Leaks usará estos dominios para buscar credenciales comprometidas.

1

Escribe el dominio en el campo de texto (acepta subdominios como internal.acme.io).

2

Pulsa Enter o el botón Añadir.

3

El dominio aparece en la lista. Puedes editarlo (icono de lápiz) o eliminarlo (icono de papelera con confirmación).

Keywords / Marcas

Añade términos de marca que quieras monitorizar en contenido filtrado y redes sociales (p.ej. nombre de la empresa, nombres de producto, marcas registradas). Un término por campo.

VIPs

Registra personas cuya información personal debe vigilarse con mayor detalle. Cada VIP requiere nombre, email y cargo. En el módulo de Data Leaks, los registros asociados a emails de VIPs se destacan con un icono de corona (♛).

IPs

Registra direcciones IP corporativas para detección de exposición de infraestructura. Solo se admiten IPs en formato IPv4 (p.ej. 203.0.113.42).

Edición y eliminación

Para editar un elemento, haz clic en el icono de lápiz al final de su fila. Para eliminar, usa el icono de papelera. Se pedirá confirmación antes de borrar definitivamente el registro.

Data Leaks

🔓

Credenciales y datos filtrados

Detecta si información de tu organización ha aparecido en brechas de datos.

Sub-módulos

PestañaQué contiene
Exposed CredentialsCombinaciones email/contraseña encontradas en bases de datos comprometidas. Muestra el tipo de contraseña e indica si el email pertenece a un VIP.
Leaked DocumentsDocumentos confidenciales detectados en fuentes abiertas o repositorios de fugas.
Pastebin LeaksPublicaciones en plataformas tipo Pastebin que contienen datos relacionados con tu organización.
Code LeaksFragmentos de código fuente, tokens o secretos publicados en repositorios o foros.

Interfaz de la tabla

  • Búsqueda — Filtra en tiempo real por cualquier campo de la tabla.
  • Rango de fechas — Limita los resultados al periodo indicado.
  • Filtro VIP — En la pestaña Credentials, activa el botón VIP para ver solo credenciales de VIPs.
  • Columnas visibles — Activa/desactiva columnas con los chips bajo los controles.
  • Ordenación — Haz clic en los encabezados Date, Severity y Tipo para ordenar.
  • Paginación — Navega con los botones Anterior/Siguiente.

Contraseñas ocultas

En la columna Password las contraseñas aparecen enmascaradas (••••••••) por defecto. Haz clic en el icono de ojo para revelarla. La columna Tipo indica si está en Texto plano o como Hash.

Atención

Las contraseñas en texto plano suponen riesgo inmediato — el atacante puede usarlas sin procesamiento adicional. Prioriza estos registros para su gestión.

Cambiar el estado de un registro

Individualmente

1

Con la vista en Activos, selecciona uno o más registros usando los checkboxes.

2

Aparecerá la barra de acciones en lote. Selecciona el nuevo estado en el desplegable (Resolved, False Positive, Deleted).

3

Confirma en el diálogo. Los registros pasarán a su nueva pestaña de estado.

Restaurar un registro

Desde cualquier vista que no sea Activos, selecciona los registros que deseas restaurar y usa el botón Restore en la barra de acciones en lote.

Cambiar la severidad

En la columna Severity de cada fila hay un selector desplegable. Selecciona el nivel deseado. El cambio se guarda automáticamente.

Acciones en lote

Selecciona múltiples registros (o el checkbox de cabecera para seleccionar toda la página). La barra de lote mostrará el número de seleccionados, el desplegable de estado, el botón Restore y el botón Clear.

Suspicious Domains

Dominios sospechosos

Detecta typosquatting, phishing y abuso de marca mediante dominios fraudulentos.

Categorías de dominios

CategoríaDescripción
MonitorizaciónDominios bajo vigilancia activa. Similares al dominio corporativo pero sin actividad maliciosa confirmada.
Abuso de marcaDominios que usan el nombre de la marca de forma fraudulenta (typosquatting, combinaciones engañosas).
PhishingDominios que imitan la identidad de la organización con intención clara de engañar a usuarios.

Tarjeta de dominio

  • Nombre del dominio con enlace directo.
  • País donde está registrado.
  • Registrante — entidad que registró el dominio.
  • Fecha de registro y fecha de expiración.
  • MX Records — si el dominio puede enviar emails (mayor peligrosidad).
  • Captura de pantalla si está disponible.
  • Severidad (selector desplegable editable).

Acciones sobre un dominio

Cambiar estado desde la tarjeta

1

Despliega el selector Actions y elige el estado deseado (Resuelto, Eliminado, Activo).

2

O usa el botón rápido Falso positivo para marcarlo con un solo clic.

3

El punto de estado de la tarjeta cambiará inmediatamente.

Modal de detalles

Haz clic en el chip Details para abrir un modal completo desde el que también puedes cambiar estado, severidad, categoría y ver la captura de pantalla.

Filtros

  • Búsqueda — Filtra por nombre de dominio o registrante.
  • Filtro MX — Muestra solo dominios con/sin registros MX.
  • Rango de fechas — Filtra por fecha de registro.
  • Vista de estado — Activos, Resueltos, Falsos positivos o Eliminados.

Critical Posts

💬

Contenido ofensivo en redes sociales

Monitoriza publicaciones en X, Reddit y Telegram relacionadas con tu organización.

Categorías

CategoríaDescripción
Offensive ContentPublicaciones con lenguaje ofensivo, amenazas o contenido dañino dirigido a la organización o sus miembros.
HacktivismLlamadas a la acción hacktivista, campañas de defacement, DDoS anunciados o filtraciones coordinadas.
ActivismPublicaciones de activismo general que mencionan a la organización. Pueden derivar en presión pública o crisis de reputación.

Información de cada post

  • Plataforma — X (Twitter), Reddit o Telegram.
  • Autor y seguidores del autor.
  • Título y extracto del contenido.
  • Fecha de publicación y enlace al post original.
  • Evidencia — Indicador si hay captura archivada.
  • Severidad editable.

Gestión de posts

  • Cambiar estado (Activo / Resuelto / Falso positivo / Descartado) desde la tarjeta.
  • Mover a otra categoría con los botones de categoría.
  • Abrir el modal de detalles con información completa.
  • Acceder al post original con el enlace externo.

Darkweb

👤

Menciones en foros ocultos

Detecta menciones de tu organización en mercados, foros y canales de la dark web.

El módulo Darkweb rastrea fuentes de la dark web (foros de hacking, mercados de credenciales, canales privados) en busca de menciones de los dominios, marcas y activos configurados en el Provisioning Portal.

La interfaz y la gestión de estados sigue el mismo patrón que el resto de módulos: filtrado por estado, cambio de estado individual o en lote, ajuste de severidad y exportación de resultados.

Infrastructure Exposure

🌐

Servicios e infraestructura expuesta

Identifica activos corporativos accesibles desde internet de forma involuntaria.

Información de cada exposición

  • Activo (host/IP) — Nombre del servidor o dirección IP expuesta.
  • Puerto expuesto y servicio (SSH, VPN, SFTP, RDP, etc.).
  • Fecha de detección y última vez visto.
  • Vectores de ataque — Lista de vectores identificados.
  • Descripción — Detalle del riesgo y actividad observada.
  • Geolocalización — Ciudad y país del activo.
  • Severidad editable.

Estados de infraestructura

EstadoDescripción
ActiveExposición confirmada y activa. Requiere acción inmediata.
MonitoringBajo vigilancia. El equipo está haciendo seguimiento pero no ha remediado aún.
RemediatedLa exposición ha sido corregida (puerto cerrado, credenciales rotadas, etc.).

Usuarios y roles

👥

Gestión del equipo

Solo accesible para usuarios con rol Administrator en el tenant activo.

La sección Users & Roles se divide en tres pestañas: Users, Roles y Audit Log.

Pestaña Users

Lista de usuarios

  • Estado — Activo, pendiente de aceptar invitación o suspendido.
  • Nombre y email.
  • Rol global en el tenant.
  • Equipos a los que pertenece y su rol en cada uno.
  • MFA — Si tiene autenticación de dos factores habilitada.
  • Última actividad.

Invitar un usuario

1

Pulsa el botón Invite User (esquina superior derecha).

2

Introduce el email y selecciona el rol que tendrá en el tenant.

3

Confirma. Si el usuario no existe, se creará con estado Pending y recibirá un email de invitación.

Editar un usuario

Haz clic en el icono de editar (lápiz) de cualquier fila para abrir el panel lateral:

  • Rol global — Cambia el rol del usuario en el tenant.
  • Equipos — Añade o quita el usuario de equipos y asigna su rol en cada uno.
  • Permisos efectivos — Resumen informativo del rol global y roles por equipo.

Resetear MFA

Si un usuario ha perdido acceso a su app de autenticación, un administrador puede resetear su configuración MFA usando el icono de reinicio en la fila del usuario.

Acciones en lote

Selecciona varios usuarios con los checkboxes. Aparece la barra de acciones en lote con opciones: Cambiar rol, Cambiar estado, Reenviar invitación, Exportar, Asignar equipo.

Roles y permisos

Pestaña Roles

Muestra todos los roles del tenant organizados en dos grupos:

  • System Roles — Roles predefinidos por la plataforma. No se pueden modificar ni eliminar.
  • Custom Roles — Roles creados por administradores del tenant. Se pueden editar, duplicar y eliminar.

Roles de sistema

RolDescripción
AdministratorAcceso completo. Gestiona usuarios, roles, provisioning y ajustes del tenant. Único rol con acceso a Users & Roles y Settings.
ManagerPuede ver y gestionar alertas en todos los módulos. Sin acceso a administración de usuarios.
AnalystPuede ver y gestionar alertas. Acceso de trabajo estándar.
Read-only UserSolo puede consultar información. No puede cambiar estados, severidades ni gestionar alertas.

Crear un rol personalizado

1

En la pestaña Roles, haz clic en el botón + junto a "Custom Roles".

2

Introduce el nombre y opcionalmente una descripción. Confirma con el formulario modal.

3

El nuevo rol se crea con todos los permisos desactivados. Selecciónalo para editar su matriz de permisos.

4

Activa los permisos deseados en la Matriz de permisos y pulsa Save.

Duplicar / Eliminar un rol

Al hacer hover sobre un rol custom aparecen los iconos de duplicar y eliminar. Solo se pueden borrar roles custom; se pedirá confirmación antes de borrar.

Pestaña Audit Log

Registro cronológico de acciones realizadas en el tenant: creación de usuarios, cambios de rol, resets de MFA, exportaciones, logins, etc. Cada entrada muestra timestamp, actor, acción, objetivo, detalles e IP de origen.

Usa el botón Export Audit (disponible estando en la pestaña Audit) para exportar el log.

Ajustes

Acceso restringido

La sección Settings solo es accesible para usuarios con rol Administrator en el tenant activo.

Contiene la configuración general del tenant: integraciones, notificaciones, preferencias de la plataforma y parámetros de alertas. Consulta con el administrador de la plataforma para modificar estos ajustes.

Upgrade de módulos

Si intentas acceder a un módulo que no está habilitado para tu tenant, la plataforma te redirige automáticamente a la página de Upgrade.

Los módulos disponibles para activar son:

  • LEAKS — Data Leaks (credenciales, documentos, pastebin, código)
  • SUSPICIOUS_DOMAINS — Suspicious Domains
  • CRITICAL_POSTS — Critical Posts
  • DARKWEB — Darkweb
  • INFRALEAK — Infrastructure Exposure

Referencia rápida de acciones comunes

AcciónCómo hacerlo
Marcar como falso positivoSelecciona el registro → barra de lote → False Positive. En Suspicious Domains también hay botón rápido en la tarjeta.
Marcar como resueltoSelecciona → barra de lote → Resolved. O desde el modal de detalles.
Restaurar un registroVista del estado → selecciona → Restore.
Cambiar severidadDesplegable de severidad en la fila o tarjeta. Guarda automáticamente.
Ver contraseña en texto claroHaz clic en el icono de ojo en la columna Password.
Filtrar solo VIPsMódulo Leaks → pestaña Credentials → botón VIP.
Mover dominio a otra categoríaSuspicious Domains → tarjeta → botón de categoría o modal → Mover a.
Invitar un usuarioUsers & Roles → pestaña Users → Invite User.
Crear un rol personalizadoUsers & Roles → pestaña Roles → botón + junto a Custom Roles.
Cambiar de tenantHaz clic en el nombre del tenant en la barra lateral → selecciona otro.
Añadir dominio a monitorizarProvisioning Portal → pestaña Dominios → introduce el dominio → Enter.
Official documentation

User Guide — LinceSec

Everything you need to know to use the platform: monitoring modules, alert management, state changes, false positive marking, user management and much more.

What is LinceSec?

LinceSec is a multi-tenant threat intelligence and brand protection platform. It allows security teams to monitor in real time whether their organization's information has been compromised, whether suspicious domains are impersonating their brand, whether offensive content is being published, or whether infrastructure is inadvertently exposed to the internet.

Data Leaks
Leaked credentials and documents
Suspicious Domains
Phishing and brand abuse
Critical Posts
Offensive content on social networks
Darkweb
Mentions in hidden forums
Infra Exposure
Exposed services and ports

Access and tenant management

Sign in

1

Navigate to your LinceSec instance URL. Enter your email and password and click Sign in.

2

If you have access to more than one tenant (organization), you will see a selector with all of them. Select the one you want to use as the active context.

3

You will be redirected to the Dashboard. The active tenant name appears in the top sidebar.

Switch tenant

If you belong to more than one tenant, you can switch context at any time without signing out. Click on the active tenant name at the top of the sidebar. A menu will appear with the rest of the available tenants. When you select one, the view reloads showing that organization's data.

Note

Your role may differ across tenants. For example, you can be an Analyst in one organization and a Manager in another. The permissions for each session depend on the role assigned in the active tenant.

Sign out

Use the Logout button at the bottom of the left sidebar.

General Navigation

The main interface consists of a sidebar on the left and the main content in the center. The sidebar groups sections into three blocks:

BlockSections
MainDashboard, Provisioning Portal
Our modulesData Leaks, Suspicious Domains, Critical Post, Darkweb, Infrastructure Exposure
ConfigurationUsers & Roles, Settings, Docs
Disabled modules

If a module is not enabled for your tenant, clicking it will redirect you to the Upgrade page, where you can request to activate it. Disabled modules still appear in the menu so you know they exist.

States and Severities

All platform records (leaks, domains, posts, etc.) have a state and a severity level. Understanding these concepts is essential for managing alerts.

Possible states

StateIndicatorMeaning
● ActiveBlue dotNew or pending threat. This is the default view when entering any module.
✓ ResolvedGreen dotThe team has taken action and considers the incident closed (e.g. password changed, domain blocked).
⚠ False positiveYellow dotThe detection does not correspond to a real threat. It is kept for audit purposes but requires no action.
✕ DeletedGrey dotManually discarded record. Still visible in the "Deleted" view for traceability.

State flow

ActiveResolved  |  ActiveFalse positive  |  ActiveDeleted

From any non-active state it is always possible to restore the record to Active.

Severities

LevelDescriptive guidance
CRITICALImmediate potential impact: plaintext credentials, active phishing with MX records, critical exposed infrastructure.
HIGHHigh risk requiring urgent but not immediate attention.
MEDIUMModerate risk. Plan short-term remediation.
LOWLow risk. Monitor or accept as residual risk.
Tip

Severity is editable directly from the table or card of each record. An analyst can adjust it manually if the automatic criterion does not reflect the real context of the organization.

Dashboard

Operations center

Consolidated view of the active tenant's security status.

The Dashboard has two tabs: Overview and Issues Summary.

Overview

  • KPIs per module — Total number of active alerts in each module.
  • Recent incidents — List of the latest detected incidents ordered by date.
  • Latest leaks — Preview of the most recent credentials or documents found.

Issues Summary

  • Distribution by module — Chart of open alert volume across active modules.
  • Top threats by module — The highest severity threats from each module.
  • Active module selector — Click any module to filter the view.

Provisioning Portal

Monitored assets

Define which domains, keywords, VIP people and IPs LinceSec should monitor for your organization.

The Provisioning Portal is where you configure the monitoring scope. Without configured assets, the detection modules will not generate relevant alerts for your organization.

Organized into four tabs:

Domains

Register the corporate domains that LinceSec should monitor (e.g. mycompany.com). The Data Leaks module will use these domains to search for compromised credentials.

1

Type the domain in the text field (accepts subdomains like internal.acme.io).

2

Press Enter or click the Add button.

3

The domain appears in the list. You can edit it (pencil icon) or delete it (trash icon with confirmation).

Keywords / Brands

Add brand terms you want to monitor in leaked content and social networks (e.g. company name, product names, registered trademarks). One term per field.

VIPs

Register people whose personal information should be monitored in more detail. Each VIP requires a name, email and position. In the Data Leaks module, records associated with VIP emails are highlighted with a crown icon (♛).

IPs

Register corporate IP addresses for infrastructure exposure detection. Only IPv4 format IPs are accepted (e.g. 203.0.113.42).

Editing and deletion

To edit an item, click the pencil icon at the end of its row. To delete, use the trash icon. Confirmation will be requested before permanently deleting the record.

Data Leaks

🔓

Leaked credentials and data

Detect whether your organization's information has appeared in data breaches.

Sub-modules

TabWhat it contains
Exposed CredentialsEmail/password combinations found in compromised databases. Shows the password type and indicates whether the email belongs to a VIP.
Leaked DocumentsConfidential documents detected in open sources or leak repositories.
Pastebin LeaksPosts on Pastebin-type platforms containing data related to your organization.
Code LeaksSource code fragments, tokens or secrets published in repositories or forums.

Table interface

  • Search — Filter in real time by any table field.
  • Date range — Limit results to the indicated period.
  • VIP filter — In the Credentials tab, activate the VIP button to see only VIP credentials.
  • Visible columns — Enable/disable columns using the chips below the controls.
  • Sorting — Click the Date, Severity and Type headers to sort.
  • Pagination — Navigate with the Previous/Next buttons.

Hidden passwords

In the Password column, passwords appear masked (••••••••) by default. Click the eye icon to reveal it. The Type column indicates whether it is in Plaintext or as a Hash.

Warning

Passwords in plaintext pose an immediate risk — the attacker can use them without additional processing. Prioritize these records for management.

Change the state of a record

Individually

1

With the view in Active, select one or more records using the checkboxes.

2

The bulk actions bar will appear. Select the new state in the dropdown (Resolved, False Positive, Deleted).

3

Confirm in the dialog. Records will move to their new state tab.

Restore a record

From any view other than Active, select the records you want to restore and use the Restore button in the bulk actions bar.

Change severity

In the Severity column of each row there is a dropdown selector. Select the desired level. The change is saved automatically.

Bulk actions

Select multiple records (or the header checkbox to select the entire page). The bulk bar will show the number selected, the state dropdown, the Restore button and the Clear button.

Suspicious Domains

Suspicious domains

Detect typosquatting, phishing and brand abuse through fraudulent domains.

Domain categories

CategoryDescription
MonitoringDomains under active surveillance. Similar to the corporate domain but with no confirmed malicious activity.
Brand abuseDomains that use the brand name fraudulently (typosquatting, deceptive combinations).
PhishingDomains that mimic the organization's identity with clear intent to deceive users.

Domain card

  • Domain name with direct link.
  • Country where it is registered.
  • Registrant — entity that registered the domain.
  • Registration date and expiration date.
  • MX Records — whether the domain can send emails (higher risk).
  • Screenshot if available.
  • Severity (editable dropdown selector).

Actions on a domain

Change state from the card

1

Expand the Actions selector and choose the desired state (Resolved, Deleted, Active).

2

Or use the quick False positive button to mark it with a single click.

3

The card's state dot will change immediately.

Details modal

Click the Details chip to open a full modal from which you can also change state, severity, category and view the screenshot.

Filters

  • Search — Filter by domain name or registrant.
  • MX filter — Show only domains with/without MX records.
  • Date range — Filter by registration date.
  • State view — Active, Resolved, False positives or Deleted.

Critical Posts

💬

Offensive content on social networks

Monitor posts on X, Reddit and Telegram related to your organization.

Categories

CategoryDescription
Offensive ContentPosts with offensive language, threats or harmful content directed at the organization or its members.
HacktivismCalls to hacktivist action, defacement campaigns, announced DDoS attacks or coordinated leaks.
ActivismGeneral activism posts mentioning the organization. May lead to public pressure or reputation crises.

Information for each post

  • Platform — X (Twitter), Reddit or Telegram.
  • Author and followers of the author.
  • Title and excerpt of the content.
  • Publication date and link to the original post.
  • Evidence — Indicator if there is an archived screenshot.
  • Severity editable.

Post management

  • Change state (Active / Resolved / False positive / Discarded) from the card.
  • Move to another category with the category buttons.
  • Open the details modal with full information.
  • Access the original post with the external link.

Darkweb

👤

Mentions in hidden forums

Detect mentions of your organization in dark web markets, forums and channels.

The Darkweb module tracks dark web sources (hacking forums, credential markets, private channels) for mentions of the domains, brands and assets configured in the Provisioning Portal.

The interface and state management follows the same pattern as the rest of the modules: filtering by state, individual or bulk state changes, severity adjustment and result export.

Infrastructure Exposure

🌐

Exposed services and infrastructure

Identify corporate assets accessible from the internet unintentionally.

Information for each exposure

  • Asset (host/IP) — Server name or exposed IP address.
  • Exposed port and service (SSH, VPN, SFTP, RDP, etc.).
  • Detection date and last seen.
  • Attack vectors — List of identified vectors.
  • Description — Risk detail and observed activity.
  • Geolocation — City and country of the asset.
  • Severity editable.

Infrastructure states

StateDescription
ActiveConfirmed and active exposure. Requires immediate action.
MonitoringUnder surveillance. The team is tracking but has not yet remediated.
RemediatedThe exposure has been fixed (port closed, credentials rotated, etc.).

Users and roles

👥

Team management

Only accessible to users with the Administrator role in the active tenant.

The Users & Roles section is divided into three tabs: Users, Roles and Audit Log.

Users tab

User list

  • Status — Active, pending invitation acceptance, or suspended.
  • Name and email.
  • Global role in the tenant.
  • Teams they belong to and their role in each.
  • MFA — Whether they have two-factor authentication enabled.
  • Last activity.

Invite a user

1

Click the Invite User button (top right corner).

2

Enter the email and select the role they will have in the tenant.

3

Confirm. If the user does not exist, they will be created with Pending status and receive an invitation email.

Edit a user

Click the edit icon (pencil) on any row to open the side panel:

  • Global role — Change the user's role in the tenant.
  • Teams — Add or remove the user from teams and assign their role in each.
  • Effective permissions — Informational summary of the global role and team roles.

Reset MFA

If a user has lost access to their authentication app, an administrator can reset their MFA configuration using the reset icon in the user's row.

Bulk actions

Select multiple users with the checkboxes. The bulk actions bar appears with options: Change role, Change status, Resend invitation, Export, Assign team.

Roles and permissions

Roles tab

Shows all tenant roles organized into two groups:

  • System Roles — Predefined roles by the platform. Cannot be modified or deleted.
  • Custom Roles — Roles created by tenant administrators. Can be edited, duplicated and deleted.

System roles

RoleDescription
AdministratorFull access. Manages users, roles, provisioning and tenant settings. The only role with access to Users & Roles and Settings.
ManagerCan view and manage alerts across all modules. No access to user administration.
AnalystCan view and manage alerts. Standard working access.
Read-only UserCan only view information. Cannot change states, severities or manage alerts.

Create a custom role

1

In the Roles tab, click the + button next to "Custom Roles".

2

Enter the name and optionally a description. Confirm with the modal form.

3

The new role is created with all permissions disabled. Select it to edit its permissions matrix.

4

Enable the desired permissions in the Permissions Matrix and click Save.

Duplicate / Delete a role

On hover over a custom role, duplicate and delete icons appear. Only custom roles can be deleted; confirmation will be requested before deleting.

Audit Log tab

Chronological record of actions performed in the tenant: user creation, role changes, MFA resets, exports, logins, etc. Each entry shows timestamp, actor, action, target, details and source IP.

Use the Export Audit button (available while on the Audit tab) to export the log.

Settings

Restricted access

The Settings section is only accessible to users with the Administrator role in the active tenant.

Contains the general tenant configuration: integrations, notifications, platform preferences and alert parameters. Consult with the platform administrator to modify these settings.

Module upgrade

If you try to access a module that is not enabled for your tenant, the platform automatically redirects you to the Upgrade page.

The modules available to activate are:

  • LEAKS — Data Leaks (credentials, documents, pastebin, code)
  • SUSPICIOUS_DOMAINS — Suspicious Domains
  • CRITICAL_POSTS — Critical Posts
  • DARKWEB — Darkweb
  • INFRALEAK — Infrastructure Exposure

Quick reference for common actions

ActionHow to do it
Mark as false positiveSelect the record → bulk bar → False Positive. In Suspicious Domains there is also a quick button on the card.
Mark as resolvedSelect → bulk bar → Resolved. Or from the details modal.
Restore a recordState view → select → Restore.
Change severitySeverity dropdown in the row or card. Saves automatically.
View password in plaintextClick the eye icon in the Password column.
Filter only VIPsLeaks module → Credentials tab → VIP button.
Move domain to another categorySuspicious Domains → card → category button or modal → Move to.
Invite a userUsers & Roles → Users tab → Invite User.
Create a custom roleUsers & Roles → Roles tab → + button next to Custom Roles.
Switch tenantClick the tenant name in the sidebar → select another.
Add domain to monitorProvisioning Portal → Domains tab → enter domain → Enter.

Contacto

¿Tienes preguntas sobre LinceSec, quieres acceso anticipado o explorar una colaboración? Escríbenos.

comercial@lincesec.com

Nuestro equipo responde en menos de 24 horas.