Blog

Un nuevo peligro de las Progressive Web Apps que muy pocos conocen

El aumento en la adopción de PWAs trae consigo un incremento en los riesgos de seguridad del lado del cliente. ¿Y la industria? Apenas lo está discutiendo.

Dec 20, 2024 • 3 min read

Simon Wijckmans Founder & CEO

Las Progressive Web Apps (PWAs) han revolucionado la forma en que construimos y entregamos aplicaciones. No es de extrañar que hayan ganado tracción. Simplifican el desarrollo, combinando la flexibilidad de la web con las capacidades de los dispositivos móviles. Características como acceso sin conexión, notificaciones push e integración de hardware... todo envuelto en la conveniencia de un navegador. Con actualizaciones como las de iOS 16.4 en 2023, integrar capacidades de navegador en las apps es más fácil que nunca, impulsando la nueva ola de adopción de PWAs.

Pero hay una contraparte. Con su auge viene un aumento en los riesgos de seguridad del lado del cliente. ¿Y la industria? Apenas se ha hablado de ello.

Captura que muestra Tinder como una Progressive Web App — La app de Tinder es una PWA.

Las PWAs son navegadores

En esencia, las PWAs son navegadores. Transforman cada app en un micro-entorno web. Ese es su poder: se cargan instantáneamente, reutilizan código de sitios web y se conectan a servicios web sin problemas. Sin embargo, esta misma arquitectura también las expone a las vulnerabilidades de la web, especialmente a los riesgos del lado del cliente vinculados a scripts de terceros.

Los sitios web modernos dependen de estos scripts para todo, desde analíticas hasta herramientas de engagement. Si bien son convenientes, expanden masivamente tu superficie de ataque. En una PWA, estos mismos scripts se ejecutan directamente en la app, amplificando riesgos como filtraciones de datos, inyecciones maliciosas y más.

Tu riesgo ya no se limita a los visitantes del sitio web; se extiende a cada usuario de la app.

Ten en cuenta la cadena de suministro web

El lado del cliente es la parada final en la cadena. Es donde tu código, tanto de primera como de terceros, se carga en el navegador o PWA del usuario.

Los scripts de terceros provenientes de proveedores externos son integrales pero a menudo quedan fuera de tu control, convirtiéndolos en objetivos principales para los atacantes. Desde scripts de analíticas comprometidos que filtran datos de usuarios hasta código malicioso inyectado en chatbots, el lado del cliente está bajo amenaza constante.

Construir una PWA solo amplifica estos riesgos al llevarlos a tu app.

Las PWAs no son malas

Dicho todo esto, no abogamos en contra del uso de PWAs. Dependiendo de tus necesidades, probablemente sean la opción más inteligente. Solo no pases por alto los desafíos de seguridad que traen consigo. Desafortunadamente, las vulnerabilidades del lado del cliente, especialmente las de scripts de terceros, a menudo se ignoran.

Hemos construido cside, una herramienta de monitoreo y seguridad de scripts de terceros. Esto resuelve todos estos problemas tanto en entornos web como de PWA. Instálalo ahora mismo, o habla con nosotros: estaremos más que felices de ayudarte a comenzar.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Las Progressive Web Apps pueden instalarse de forma silenciosa y solicitar capacidades similares a las de una app nativa. Una PWA maliciosa puede enviar notificaciones push, ejecutarse en segundo plano y suplantar marcas de confianza de forma mucho más convincente que una página web normal.

Monitoriza los scripts de terceros para que un atacante no pueda inyectar un manifest o registrar un service worker. cside detecta nuevos comportamientos de scripts y workers en el cliente, que es la única capa donde este riesgo es visible.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.