Blog Attacks

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Jun 17, 2026 • 12 min read

Mike Kutlu Client-Side Security Consultant

Portada oscura del blog con tres amenazas de scripts de afiliados: redirecciones silenciosas de jugadores, robo de comisiones vía UTM e inyección de ID de afiliado fraudulento

El modelo de afiliados en los casinos es uno de los canales de captación de clientes más eficientes del sector iGaming, y también una de las mayores superficies de ataque de terceros no confiables de cualquier industria. Los socios afiliados insertan píxeles de seguimiento y JavaScript en fuentes de tráfico de toda la web, y esos mismos scripts terminan rutinariamente cargados en las propias páginas del casino mediante tag managers y parámetros de seguimiento de referencias. Cuando un script de afiliado se ve comprometido, el operador ha concedido efectivamente a un agente hostil acceso directo de ejecución de scripts a su plataforma. El ENISA Threat Landscape for Supply Chain Attacks identifica el código de terceros como el principal vector en los compromisos de la cadena de suministro, y el ecosistema de afiliados de los casinos es un ejemplo paradigmático de por qué.

Cómo los scripts de afiliados entran en el stack tecnológico del casino

Respuesta rápida: Los scripts de afiliados acceden al stack tecnológico del casino a través de tres rutas principales: tag managers que cargan píxeles de afiliados en todo el sitio, parámetros de seguimiento de referencias que activan la ejecución de scripts en las páginas de destino, y mecanismos de deep-link que insertan identificadores de afiliados en el recorrido del jugador. Cada ruta concede al código del afiliado acceso de ejecución al entorno de la página del operador.

La relación de afiliados requiere medición, y la medición requiere código. Para rastrear que un jugador llegó de un socio específico, convirtió y generó ingresos, el script de seguimiento del afiliado debe ejecutarse en algún punto del recorrido del jugador en el sitio del operador. Eso no es un error técnico. Es la arquitectura prevista.

El problema es lo que esa arquitectura permite. Un script de afiliado cargado mediante Google Tag Manager en la página del lobby del casino tiene el mismo acceso al DOM, la misma capacidad para leer cookies y los mismos permisos de solicitud de red que el propio JavaScript del operador. El operador lo ha cargado intencionalmente. La relación de confianza implica que ninguna regla de CSP lo bloquea y ninguna regla de WAF se activa cuando se ejecuta.

Los puntos de entrada más comunes incluyen:

Contenedores tag manager que cargan píxeles de afiliados en cada página o en eventos de conversión específicos (primer depósito, registro)
Páginas de destino de referencias que leen los parámetros UTM y realizan llamadas de seguimiento de afiliados antes de que el jugador llegue al lobby principal
Páginas de redirección de deep-link que resuelven los ID de afiliados y establecen cookies de seguimiento antes de enviar al jugador al sitio

Cada punto de entrada es un lugar donde un script de afiliado comprometido puede ejecutarse con la confianza implícita del operador. El mecanismo de entrada es deliberado; lo que importa es el abuso de ese mecanismo.

Los patrones de ataque: qué hacen realmente los scripts de afiliados comprometidos

Respuesta rápida: Los scripts de afiliados comprometidos ejecutan cuatro ataques principales contra los operadores de casino: redirigir silenciosamente a los jugadores a plataformas de la competencia en momentos de alta intención, robar comisiones de referencia sobrescribiendo parámetros UTM y valores de cookies, abusar de los mecanismos de deep-link para inyectar ID de afiliados fraudulentos, y cargar payloads maliciosas adicionales que persisten durante toda la sesión del jugador.

El compromiso de Polyfill.js en junio de 2024 demostró a gran escala cómo un único script de confianza, utilizado por más de 100.000 sitios, podía convertirse en un mecanismo de distribución de redireccionamientos maliciosos después de que el proyecto original cambiara de manos. Los scripts de afiliados se enfrentan al mismo riesgo: el operador confía en el socio, la infraestructura del socio se ve comprometida y el atacante hereda esa relación de confianza.

Redirección de jugadores. Durante un momento de alta intención — normalmente en la página de inicio de sesión, el flujo de depósito o tras aplicar un bono —, el script comprometido detecta el estado conductual del jugador e inicia un evento de navegación hacia un casino de la competencia o un clon de phishing. La redirección es lo suficientemente rápida como para que muchos jugadores asuman que se trata de una redirección legítima. Los análisis del operador muestran una sesión abandonada en lugar de una redirección.

Robo de comisiones mediante manipulación de UTM. Las comisiones de afiliados se calculan en función de los parámetros UTM y las cookies de seguimiento que identifican al socio remitente. Un script comprometido puede sobrescribir los valores de document.cookie o modificar los parámetros de URL en tiempo real, sustituyendo un ID de afiliado legítimo por el del atacante. El operador paga la comisión a la parte equivocada. Esto es especialmente difícil de detectar porque el evento de ingresos sigue produciéndose, pero solo la atribución es incorrecta.

Abuso de deep-link. Los deep-links de afiliados resuelven un parámetro de ID y establecen una cookie de seguimiento antes de redirigir al jugador. Un script que intercepte este flujo puede inyectar un ID de afiliado fraudulento en la cookie antes de que se complete la redirección, secuestrando la atribución de ingresos para toda la relación con el jugador.

Entrega de payload adicional. La capacidad más peligrosa del script comprometido es cargar JavaScript adicional desde infraestructura controlada por el atacante. Un pequeño script stub, de confianza porque lleva la identidad del afiliado, obtiene un payload completo que puede ejecutar cualquiera de los ataques anteriores y más, incluyendo keylogging durante el registro o cosecha de credenciales. Esto es la cadena de carga de proveedores en acción: el script del afiliado es el padre, carga scripts hijos, y esos hijos pueden cargar nietos. cside mapea la cadena completa, no solo la dependencia de primer grado, que es donde suele encontrarse el payload malicioso real.

Por qué los scripts de afiliados comprometidos son diferentes a otros ataques de cadena de suministro

Respuesta rápida: A diferencia de los scripts de terceros que entran en el stack sin intención explícita, los scripts de afiliados se cargan deliberadamente con amplio acceso a la página porque la medición lo requiere. La relación de confianza es intencional, lo que significa que el script omite los controles que normalmente detectarían código no confiable. Un script de afiliado comprometido es un vector de confianza que se ha vuelto hostil, más difícil de detectar y más difícil de bloquear sin romper la relación de afiliados.

El Verizon 2024 DBIR identifica consistentemente los ataques a aplicaciones web como el vector de ataque externo más común. Lo que hace que el compromiso de afiliados sea distinto dentro de esa categoría es el diferencial de confianza.

La mayoría de los ataques a la cadena de suministro explotan el hecho de que los operadores cargan scripts de terceros sin revisarlos. El compromiso de scripts de afiliados es diferente: el operador ha revisado activamente y aprobado la relación. El script tiene una cuenta, un contrato y un alcance acordado. Cuando el script se ve comprometido, el atacante no está explotando una brecha en los procesos de aprobación. Está explotando la aprobación que ya existe.

Esto crea varios desafíos de detección:

Bloquear el script rompe una relación de afiliados que genera ingresos
Las llamadas de red del script a su propio dominio parecen legítimas, porque el dominio es el dominio real del afiliado
La entrega de payload desde un segundo dominio es el primer indicador conductual de que algo ha cambiado, y requiere monitorización en runtime para detectarlo
La manipulación de UTM y las escrituras de cookies no generan ningún error de red ni entrada en el registro del servidor

Las plataformas de casino de marca blanca que dan servicio a múltiples marcas se enfrentan a una versión amplificada de este problema. Un único script de afiliado comprometido cargado en 20 marcas mediante una configuración de tag manager compartida afecta a las 20 simultáneamente. El informe IBM 2024 Cost of a Data Breach sitúa el coste medio global de una filtración en 4,88 millones de dólares, pero para los operadores multimarca el radio de impacto multiplica significativamente esa exposición. Detectar estos cambios conductuales antes de que se propaguen requiere instrumentación en la capa de ejecución.

Cómo cside detecta cambios conductuales en los scripts de afiliados

Respuesta rápida: cside monitoriza los scripts de afiliados en la capa de ejecución en el 100% de las sesiones de usuarios reales. Establece una línea base de lo que cada script de afiliado hace normalmente (qué dominios contacta, qué elementos del DOM lee o escribe, qué solicitudes de red inicia) y alerta cuando el comportamiento en runtime se desvía de esa línea base, sin necesidad de bloquear el script ni romper la relación de afiliados.

El dato clave es que un script comprometido se comporta de manera diferente. Antes del compromiso, el script del afiliado dispara un píxel de seguimiento a su propio dominio y establece una cookie. Después del compromiso, contacta un segundo dominio, modifica una cookie que no tocaba anteriormente o inicia una redirección que no estaba en su patrón de ejecución anterior. Esos cambios conductuales son detectables sin necesidad de saber de antemano que se ha producido un compromiso.

El enfoque de cside para la monitorización de scripts de afiliados incluye:

Mapeo completo de la cadena de carga: cside mapea la cadena de carga de proveedores completa para cada script de afiliado, incluidos los scripts hijos y nietos cargados dinámicamente. Si un script de afiliado es limpio pero el hijo que carga es malicioso, cside ve el árbol de dependencias completo y atribuye el comportamiento al origen correcto
Inventario de scripts en cada tipo de página: cside identifica cada script de primera, tercera y cuarta parte que se ejecuta en cada página (lobby, depósito, retirada, registro) y marca los nuevos scripts que aparecen sin un cambio correspondiente en el despliegue del propio operador
Monitorización de llamadas de red: cuando un script de afiliado comienza a contactar un dominio que no contactaba anteriormente, cside lo muestra como un evento de cambio que requiere revisión
Monitorización de escrituras en el DOM: las escrituras en los valores de cookies o en el almacenamiento relacionado con UTM que son inconsistentes con el comportamiento anterior del script se marcan como anómalas
Detección de redireccionamientos: las llamadas a window.location o las mutaciones de la API de navegación que no son iniciadas por el propio código del operador se muestran con contexto completo sobre qué script las inició

cside detectó más de 300.000 señales de ataque en sitios monitorizados en el primer trimestre de 2025, una proporción significativa de las cuales involucraba cambios en el comportamiento de scripts de terceros consistentes con un compromiso de la cadena de suministro.

El impacto empresarial: pérdida de ingresos, disputas y exposición regulatoria

Respuesta rápida: El impacto empresarial de los scripts de afiliados comprometidos incluye pérdida directa de ingresos por redireccionamientos de jugadores, disputas de comisiones con afiliados legítimos cuyos ID han sido sobrescritos, exposición a contracargos de jugadores que fueron redirigidos a sitios de phishing, y posibles acciones regulatorias bajo PCI DSS y GDPR por no controlar el acceso de scripts de terceros a los flujos de pago.

La exposición financiera rara vez es visible en una sola transacción. Los ataques de redirección eliminan a los jugadores en el momento de mayor intención, normalmente justo antes del depósito. El operador observa un aumento en las tasas de abandono y una menor conversión, que puede atribuirse a problemas de UX o a la calidad de la campaña antes de que se considere un compromiso de script.

El fraude de comisiones mediante manipulación de UTM a menudo solo se descubre cuando un afiliado legítimo reporta ganancias inferiores a las esperadas e inicia una disputa. En ese momento, la manipulación puede llevar semanas en marcha.

La exposición regulatoria es un nivel de riesgo separado. El PCI Security Standards Council exige que todos los scripts que se ejecutan en páginas de pago estén autorizados y monitorizados, según el requisito 6.4.3 de PCI DSS. Un script de afiliado comprometido que se ejecuta en una página de depósito es un incumplimiento directo de la normativa. Las obligaciones del GDPR bajo el Artículo 32 se aplican cuando los datos de los jugadores quedan expuestos a través del payload del script comprometido.

Para los operadores con licencia de la UK Gambling Commission o la Malta Gaming Authority, la postura de seguridad del lado del cliente forma parte cada vez más de las evaluaciones de cumplimiento técnico. Demostrar que todos los scripts de terceros, incluidos los píxeles de afiliados, se monitorizan en la capa de ejecución está convirtiéndose en una expectativa de referencia, no en un diferenciador.

Qué deben hacer los operadores ahora

El canal de afiliados no va a desaparecer, y su monitorización no debería requerir interrumpir las relaciones de afiliados existentes ni renegociar contratos. La pregunta operativa es si las herramientas de seguridad actuales ofrecen visibilidad sobre lo que hacen los scripts de afiliados en runtime, no solo desde qué dominios se cargan.

Las herramientas de capa de red como Cloudflare Page Shield rastrean qué URL de scripts aparecen en una página. No rastrean lo que hacen esos scripts una vez que se ejecutan: si sobrescriben una cookie, modifican un parámetro UTM, leen el almacenamiento de sesión o inician una redirección. Las herramientas creadas para auditorías de cumplimiento normalmente muestrean un porcentaje de sesiones y producen informes periódicos; no están diseñadas para detectar un cambio en el comportamiento de un script en la primera sesión afectada en que se produce.

cside instrumenta cada sesión en la capa de ejecución, establece una línea base del comportamiento de los scripts de afiliados en el despliegue y alerta sobre desviaciones en tiempo real. Esto significa que un script de afiliado comprometido, incluso uno que obtiene su payload desde un segundo dominio solo en condiciones específicas del jugador, se detecta en la sesión donde ejecuta ese comportamiento por primera vez, en lugar de cuando se ejecute el próximo informe de auditoría el mes que viene.

Si opera una plataforma de casino multimarca o de marca blanca con seguimiento de afiliados activo en todas las marcas, contacte con cside para entender cómo se puede desplegar la monitorización en la capa de ejecución sin cambios en su stack de afiliados.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Los scripts de afiliados se comprometen a través de varios mecanismos: la propia infraestructura del afiliado es vulnerada y el archivo de script se modifica en origen, la cuenta CDN del afiliado es secuestrada y se distribuye una versión modificada del script a todos los sitios que lo cargan, o la empresa afiliada vende el activo del script a un nuevo propietario que lo modifica con intención hostil. El caso Polyfill.js de junio de 2024 es el ejemplo público más claro del tercer escenario a escala, afectando a más de 100.000 sitios simultáneamente.

Una CSP puede limitar qué dominios tienen permiso para cargar scripts, pero no protege contra un compromiso en origen. Si el script de un afiliado se carga desde un dominio aprobado y el contenido de ese dominio es modificado por un atacante, la CSP permite el script modificado porque el dominio sigue estando en la lista de permitidos. La CSP es un control de referencia útil, pero no es suficiente por sí sola para escenarios de ataques a la cadena de suministro.

Los pasos inmediatos deben incluir la eliminación del script comprometido del contenedor del tag manager, notificar al socio afiliado y conservar una copia del payload malicioso para análisis forense. Los operadores deben revisar qué ID de afiliados recibieron una atribución inflada durante el período de compromiso, y revisar las sesiones de los jugadores en busca de evidencia de actividad de redirección o exfiltración de datos.

No. cside opera como una capa de observabilidad en las propias páginas del operador y monitoriza lo que hacen los scripts en runtime sin requerir cambios en los contratos de afiliados, las configuraciones del tag manager ni las implementaciones de seguimiento de afiliados. El único cambio es que el operador obtiene visibilidad en runtime del comportamiento de los scripts que anteriormente no se monitorizaban.

Sí, por razones estructurales. Las plataformas de marca blanca normalmente comparten configuraciones de tag manager entre múltiples marcas, lo que significa que un único script de afiliado comprometido puede afectar a todas las marcas simultáneamente. La infraestructura compartida también implica que un compromiso que afecte a la configuración de seguimiento de una marca puede propagarse a otras a través de contenedores compartidos o bibliotecas comunes, multiplicando significativamente el impacto empresarial.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada de blog oscura que destaca tres riesgos del lado del cliente en APAC: desviación de contenedores de etiquetas por mercado, scripts dirigidos por geografía que evaden las herramientas de muestreo, e inyección de píxeles de CDN regional y de afiliados.

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Visualización abstracta en azul oscuro de conexiones de red que atraviesan una puerta de enlace circular

Cómo arreglamos la gestión de timeouts de TLS en el Edge de cside

Cómo cside mejoró la fiabilidad de TLS en el Edge escrito en Rust sacando el trabajo del handshake del camino de accept de Axum y llevándolo a tareas de Tokio acotadas.

Cómo Bloquear ClaudeBot en Tu Sitio Web

ClaudeBot rastrea tu sitio para entrenar los modelos Claude de Anthropic. Aquí te explicamos cómo bloquearlo con robots.txt y rangos de IP, y qué se le sigue escapando al bloqueo.

Cómo Prevenir la Creación de Cuentas Falsas: Por Qué la Detección en la Capa del Navegador Captura lo que la Verificación de Email Pasa por Alto

La verificación de email confirma que existe un buzón. No puede ver el navegador. Aquí te explicamos por qué la detección en la capa del navegador captura la creación de cuentas falsas que ella pasa por alto.

Ataque a la cadena de suministro de Polyfill.io: cronología completa, análisis y lecciones (2024–2026)

Una cronología completa y documentada del ataque a la cadena de suministro de Polyfill.io, desde la venta del dominio en 2024 hasta las sanciones a Funnull en 2025, y cómo eliminarlo hoy.

Portada oscura del blog cside con fondo de píxeles azules y tres marcas de verificación: por qué las reglas de velocidad fallan contra los agentes de prueba de tarjetas con IA, las señales del navegador que los exponen y cómo bloquear el pago antes del checkout

Cómo Bloquear Agentes de Prueba de Tarjetas con IA

Los agentes de IA de prueba de tarjetas sondean flujos de pago con navegadores reales. Aprende las señales del navegador que los exponen antes de completar una transacción.

Plataforma de seguridad cside clasificando múltiples conexiones de agentes de IA — detección de agentes a nivel de navegador y gestión de confianza

Cómo elegir una solución de detección de agentes de IA

Guía de cinco pasos para CISOs que evalúan soluciones de detección de agentes de IA: arquitectura, clasificación, perfiles de proveedores y metodología de POC.

Portada del blog de cside mostrando una interfaz de navegador que filtra el tráfico de bots y agentes de IA en rutas de confianza y bloqueadas

Mejores Plataformas de Gestión de Confianza de Bots y Agentes Comparadas (2026)

Forrester define la categoría. cside, DataDome, HUMAN Security, Kasada y Arkose Labs comparadas en capa de detección, intención y cobertura agéntica.

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.