Blog

Los Feeds de Amenazas en la Era de la IA

La idea detrás de los feeds de amenazas es válida. Pero podríamos argumentar que ya pasó su mejor momento. Y con la tecnología actual, existen mejores opciones. Los feeds de amenazas son (a menudo) una lista de información de seguridad generada por la comunidad. Cuando alguien detecta una vulnerabilidad, publica un aviso en el feed de forma manual. Luego se recoge y aparece en el feed, donde los profesionales de seguridad de sus respectivas empresas lo leen y comprueban sus propios sistemas para ver si están expuestos a un posible peligro.

Apr 28, 2024 • 6 min read

Simon Wijckmans Founder & CEO

La idea detrás de los feeds de amenazas es válida. Pero podríamos argumentar que ya pasó su mejor momento. Y con la tecnología actual, existen mejores opciones.

Los feeds de amenazas son (a menudo) una lista de información de seguridad generada por la comunidad. Cuando alguien detecta una vulnerabilidad, publica un aviso en el feed de forma manual. Luego se recoge y aparece en el feed, donde los profesionales de seguridad de sus respectivas empresas lo leen y comprueban sus propios sistemas para ver si están expuestos a un posible peligro. Tienen algunas ventajas, ya que la comunidad suele ser bastante grande, lo que hace que estos feeds estén llenos de información valiosa. Y siempre es bueno actuar de forma preventiva en materia de ciberseguridad.

Sin embargo, este sistema tiene algunos puntos débiles importantes.

Todo este sistema requiere mucho trabajo manual. Y el trabajo manual suele ser lento y propenso a errores. Esto es una gran desventaja en el caso de los feeds de amenazas. Otro inconveniente importante es que estos feeds suelen ser públicos. Bueno para que cualquiera pueda acceder a la información, pero también malo porque… cualquiera puede acceder a ella, incluidos los actores maliciosos. Además, los informes suelen contener solo nombres de dominio, que los hackers reemplazan en cuestión de minutos sin necesidad de reescribir su código malicioso. Es una persecución sin fin donde los objetivos nunca se atrapan, solo se molestan un poco. No es lo ideal.

Dicho todo esto, profundicemos un poco más en cómo funcionan exactamente los feeds de amenazas.

¿Cómo Recopilan su Información los Feeds de Amenazas?

Análisis de Tráfico de Red: La monitorización del tráfico de red ayuda a identificar patrones sospechosos, firmas de malware y comunicaciones con direcciones IP maliciosas conocidas.
Honeypots y Señuelos: Algunos sistemas se configuran deliberadamente para ser atacados; así, las organizaciones pueden recopilar información sobre nuevas amenazas y métodos de ataque.
Informes y Análisis de Brechas de Datos: Las brechas de seguridad e incidentes divulgados públicamente proporcionan información valiosa sobre las tácticas, técnicas y procedimientos (TTPs) utilizados por los atacantes.
Colaboración e Intercambio: Las entidades suelen compartir inteligencia entre sí, aunando recursos para obtener una comprensión más amplia del panorama de amenazas cibernéticas.
Monitorización de la Dark Web y Foros: Algunos proveedores de inteligencia de amenazas monitorizan foros y mercados de la dark web donde los atacantes pueden intercambiar herramientas, servicios y datos robados, obteniendo información sobre amenazas emergentes.
Threat Hunting: Los investigadores utilizan datos externos de terceros (a veces también internos) para identificar nuevos Indicadores de Compromiso (IOCs). Entre los portales de terceros más populares se encuentran Virustotal, Shodan y Censys.

¿Qué Hacer con Esta Información?

Medidas Preventivas: Al suscribirse a feeds de amenazas, se pueden añadir IPs maliciosas conocidas, dominios y firmas de archivos a la lista negra, evitando ataques antes de que ocurran.

Respuesta a Incidentes y Análisis Forense: Cuando ocurre un incidente de seguridad, se reporta y se incluye en el feed de amenazas.

¡Todo esto es positivo!

Lo Negativo de los Feeds de Amenazas

Vulnerabilidades de Día Cero: Si eres un objetivo y te ven comprometido, los feeds de amenazas no te ayudarán. Peor aún, probablemente no lo notes hasta días después. De poco sirve levantar el puente levadizo cuando los atacantes ya han cruzado.
Vulnerabilidades de Procesos y Humanas: Ya lo mencionamos, pero el trabajo manual y la intervención humana son propensos a errores. Además, los ataques de ingeniería social, por ejemplo, explotan las vulnerabilidades humanas para engañar a las personas y hacer que revelen información sensible o concedan acceso a sistemas seguros.
Parcheo y Mitigación: Parchear vulnerabilidades no siempre es sencillo. Los retrasos en la implementación de parches, los problemas de compatibilidad y la disponibilidad de los parches pueden dejar los sistemas expuestos durante períodos prolongados.
Gestión de Riesgos: Las organizaciones deben priorizar las vulnerabilidades en función del riesgo, centrándose en parchear aquellas que representen la mayor amenaza para sus activos críticos.
Información Incorrecta: Al ser los feeds de amenazas de código abierto, pueden ser susceptibles a falsos positivos. Cualquiera puede ser engañado para dar por válida información falsa que fue introducida de forma intencionada o accidental. Es importante validar la información con regularidad; de lo contrario, podría darse el caso de que un dominio que antes era malicioso ahora se use de forma legítima, o viceversa.

La Solución Más Completa

Hemos desarrollado cside para ser el antídoto más potente contra los ataques de JavaScript. Integramos datos de feeds de amenazas en nuestra solución completa, que consiste en un pequeño script que hace lo siguiente:

Reescribir las fuentes de los scripts para enrutarlos a través del proxy de cside y realizar algunas detecciones en el lado del navegador. Esto hace que cside se sitúe en el flujo de la solicitud entre el usuario y el script de terceros, permitiendo una visibilidad total de los scripts servidos durante el 100% de la sesión. Muchos otros proveedores muestrean las sesiones del navegador, lo que significa que los ataques diseñados para afectar solo a un pequeño porcentaje de usuarios podrían pasar desapercibidos durante mucho tiempo.
Detectar scripts inline y comportamientos sospechosos que pueden ocurrir únicamente en el navegador específico desde el que se obtuvo el script. Esto es nuestra salsa secreta especial.

También monitorizamos más de 60 atributos y utilizamos IA para detectar en tiempo real cualquier indicador de intención maliciosa. Nuestra solución tiene en cuenta el contexto histórico, lo que significa que los cambios a lo largo del tiempo se revisan, facilitando la detección de secuestros repentinos. Además, cside utiliza IA para analizar el código del script de terceros. La combinación de nuestros mecanismos de detección en constante evolución nos permite identificar el intento en milisegundos y bloquearlo antes de que se ejecute cualquier operación maliciosa, o emitir una alerta si surge un comportamiento peligroso.

Lee aquí cómo funciona nuestra solución completa en comparación con otras.

A partir del 31 de marzo de 2025, el requisito 6.4.3 de PCI DSS 4.0 obliga a todos los sitios web que acepten pagos en línea a autorizar cada script en las páginas de pago, mantener un inventario de todos los scripts y garantizar su integridad. Usar el nivel gratuito de cside te permite cumplir con estos requisitos.

Lee más sobre los requisitos de PCI DSS 4.0.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.