Blog

Riesgos de seguridad y cumplimiento en los marketplaces publicitarios

Para las empresas que monetizan mediante modelos de marketplace publicitario, las redes de publicidad de terceros, las plataformas de analítica y los scripts de marketing son indispensables. Son necesarios para generar ingresos impulsando el engagement y rastreando el comportamiento de los usuarios.

Dec 23, 2024 • 6 min read

Simon Wijckmans Founder & CEO

Pero también conllevan riesgos en el lado del cliente.

Hablamos de inyecciones de anuncios maliciosos, esquemas de phishing y vulnerabilidades en scripts de terceros que los atacantes explotan cada vez con más frecuencia.

Estudios como el Verizon 2024 Data Breach Investigations Report (DBIR) y la Encuesta de Riesgo Empresarial de Forrester subrayan que las vulnerabilidades en la cadena de suministro digital —incluidas las dependencias de terceros— son una de las principales causas de las brechas de datos modernas.

Y es que estos scripts tienen pleno control en el navegador de tus usuarios. En esencia, pueden cargar lo que quieran y cambiar por completo la experiencia del visitante.

Nuestro objetivo es destacar las mejores prácticas para proteger los datos de los usuarios finales y garantizar el cumplimiento continuo. Incluso bajo la presión de maximizar los ingresos publicitarios. Una cosa no debería excluir a la otra.

En qué consisten exactamente estas amenazas

Scripts maliciosos: Los modelos de marketplace publicitario dependen de la rotación frecuente de scripts para analítica y renderizado de anuncios. Los actores maliciosos aprovechan estos entornos dinámicos para incrustar malware o interceptar datos. Como indica el DBIR, la inyección maliciosa a través de servidores de anuncios o la manipulación directa de scripts sigue siendo uno de los principales vectores de infiltración.
Robo de credenciales y exploits: El DBIR destaca cómo el phishing, las credenciales robadas y las vulnerabilidades de tipo exploit ocupan cada vez más los primeros puestos entre las causas de brechas. Los atacantes se aprovechan de las plataformas de marketing y los scripts sin supervisión para acceder rápidamente a áreas más sensibles del sitio web.
Explosión de los ecosistemas de terceros: La investigación de Forrester sobre riesgo de terceros muestra que la dependencia excesiva de proveedores ha complicado la supervisión del riesgo, con un 25 % de las empresas atribuyendo un mayor riesgo de seguridad a sus crecientes redes de terceros. Sin embargo, por razones que incluyen limitaciones de recursos y prioridades en competencia, menos de la mitad de las empresas evalúan siquiera el 50 % de sus relaciones con terceros.
Uso de tecnología moderna: Como señala Forrester, muchas empresas no consideran la gestión de riesgos de terceros (TPRM) una prioridad de alto nivel, a pesar de que exploits de día cero como MOVEit ponen de manifiesto las debilidades de la cadena de suministro. La supervisión manual no puede seguir el ritmo de la naturaleza dinámica de los ecosistemas digitales modernos, lo que permite que las vulnerabilidades del lado del cliente pasen desapercibidas.

Cómo se aplica esto en el ámbito de los marketplaces publicitarios

La dependencia de redes publicitarias externas y proveedores de tecnología de marketing convierte a las plataformas de marketplace publicitario, y a quienes las integran, en objetivos prioritarios para los atacantes. Forrester menciona específicamente que las finanzas, la manufactura y las grandes corporaciones multinacionales tienen un riesgo elevado, pero no priorizan de forma consistente la seguridad de terceros.

Las empresas que operan a nivel internacional se enfrentan a variaciones en los marcos regulatorios. Las empresas de la región EMEA, por ejemplo, están sujetas a mandatos más estrictos a través de la Ley de Resiliencia Operativa Digital (DORA) de la UE y el RGPD.

Mientras tanto, las organizaciones de Norteamérica y APAC registraron fuertes caídas en la preocupación por el TPRM, a pesar del aumento continuo de scripts publicitarios e infraestructuras transfronterizas. Esta brecha regulatoria suele derivar en una evaluación inconsistente de los proveedores.

Y, por supuesto, descuidar las relaciones con terceros puede acarrear todo tipo de problemas: pérdida de ingresos, multas por incumplimiento o incluso demandas colectivas tras una brecha de datos. Una vez que los atacantes se instalan en el lado del cliente, pueden extraer datos de consumidores o secuestrar campañas con relativa facilidad, y probablemente sin ser detectados.

Cómo resolver esto

Para reforzar la gestión de riesgos en el lado del cliente y con terceros, las organizaciones deben adoptar un enfoque estructurado y proactivo.

En primer lugar, hay que mantener un registro completo y actualizado periódicamente de todos los socios de analítica y ad-tech. Cada proveedor debe evaluarse en función de su acceso a datos sensibles de los usuarios y de la dependencia de ingresos que la organización tiene de sus servicios.

La automatización puede desempeñar un papel importante en las evaluaciones de proveedores. Cualquier organización que gestione redes extensas de scripts de terceros debería implementar plataformas robustas de TPRM o de gobernanza, riesgo y cumplimiento. Estas herramientas ofrecen evaluación continua y agilizan la supervisión, pasando de listas de verificación estáticas y anuales a una monitorización dinámica en tiempo real. Y además ahorra mucho tiempo, lo que se traduce en un ahorro considerable de dinero.

En el lado del cliente, existen diversas opciones en el mercado. Desarrollamos una solución basada en proxy que garantiza visibilidad sobre los scripts publicitarios mientras se ejecutan. Esto permite detectar y bloquear inyecciones maliciosas en tiempo real, algo que no todas las herramientas pueden ofrecer.

Como estándar, la autenticación multifactor (MFA) debería ser obligatoria para todos los accesos administrativos, y las credenciales de las plataformas de terceros deberían estar segmentadas. Implementar herramientas de detección de phishing en todos los equipos también refuerza la resiliencia.

Alinear las inversiones en seguridad con los riesgos reconocidos es igualmente importante. Las organizaciones que reconocen su exposición a terceros tienen más probabilidades de obtener presupuestos más elevados para la gestión de riesgos. Aprovecha este impulso para financiar plataformas de TPRM y herramientas de inspección de código.

Conclusiones

La monetización de tu marketplace publicitario probablemente esté en riesgo por la propia naturaleza de su implementación en tu sitio. No es un error, es una característica. Simplemente viene con el territorio. Al fin y al cabo, así es el entorno del lado del cliente.

Esto es lo que deberías llevarte de todo esto.

Prioriza la seguridad del lado del cliente para proteger estos scripts, y con ello a tus usuarios y a ti mismo. Usa una herramienta como cside para monitorizar continuamente el comportamiento de estos scripts de terceros y detectar cualquier intento malicioso.

Al mismo tiempo, crea un inventario de estos scripts de terceros (algo que cside hace por ti) y asegúrate de evaluar bien a tus socios.

Tu éxito continuado va de la mano de la seguridad de tu sitio web. Presta atención a cada eslabón de la cadena de suministro web y garantiza que tus visitantes y usuarios puedan navegar por tus páginas con total seguridad.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.