Skip to main content
Simon Wijckmans
Founder & CEO

Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Articles by Simon Wijckmans

Adyen y PCI DSS: qué cubre el procesador frente a lo que debes hacer tú

Asigna el límite de propiedad de scripts de PCI DSS 6.4.3 y 11.6.1 a cada integración de Adyen: Hosted Pages, Drop-in, Components y solo API.

Jul 10, 2026

Formjacking vs Magecart vs digital skimming: ¿cuál es la diferencia?

El digital skimming es el resultado del robo de datos, el formjacking es la técnica de captura y Magecart es el ecosistema de atacantes. Así se relacionan.

Jul 10, 2026

Gestión de riesgo de scripts de terceros: un marco de gobernanza

Marco de gobernanza para riesgo de scripts de terceros: inventario, ownership, tiers de datos, cambios, cadencia, RACI y evidencia de auditoría.

Jul 10, 2026

Credential stuffing: cómo detectarlo y detenerlo en el inicio de sesión

El credential stuffing prueba a gran escala pares de usuario y contraseña filtrados. Aprende a detectar las señales en el login y a frenarlo por capas.

Jul 9, 2026

¿Stripe te hace cumplir con PCI? Lo que los requisitos 6.4.3 y 11.6.1 de PCI DSS aún exigen

Stripe reduce tu alcance de PCI DSS y puede llevarte al SAQ A, pero no hace que tu sitio cumpla por completo. Los requisitos 6.4.3 y 11.6.1 siguen siendo tuyos.

Jul 9, 2026

¿Qué es el skimming de tarjetas en línea? Cómo los atacantes roban datos de pago en sitios web

JavaScript malicioso en páginas de pago captura números de tarjeta antes del cifrado. Cómo funciona el skimming de tarjetas en línea, ejemplos reales y requisitos PCI DSS 4.0.1.

Jul 8, 2026

¿Qué es la detección de viaje imposible y cómo funciona?

La detección de viaje imposible marca sesiones donde la ubicación cambia más rápido de lo físicamente posible. Aprende cómo funciona y qué agrega la capa de navegador.

Jul 4, 2026

Dentro del ataque de cadena de suministro del lado del cliente a Polymarket de $3M

Un proveedor externo comprometido inyectó un script vaciador de monederos en el frontend de Polymarket y robó unos $3M. Los smart contracts no se tocaron.

Jun 26, 2026

Riesgos de seguridad de la IA agéntica para sitios web: privacidad, cumplimiento y detección

Los navegadores de IA agéntica omiten el consentimiento de cookies, ejecutan JavaScript real y crean brechas de cumplimiento del RGPD que la detección de bots a nivel CDN no puede ver.

Jun 22, 2026

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Jun 20, 2026

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Jun 18, 2026

Inventario y autorización de scripts PCI DSS 6.4.3: cómo construir el registro

Workflow de inventario y autorización de scripts para PCI DSS 6.4.3: campos de cada registro, quién aprueba y una fila de ejemplo.

Jun 18, 2026

Ataque a la cadena de suministro de Polyfill.io: cronología completa, análisis y lecciones (2024–2026)

Una cronología completa y documentada del ataque a la cadena de suministro de Polyfill.io, desde la venta del dominio en 2024 hasta las sanciones a Funnull en 2025, y cómo eliminarlo hoy.

Jun 14, 2026

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Jun 9, 2026

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Jun 5, 2026

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Jun 5, 2026

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Jun 3, 2026

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

May 30, 2026

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

May 19, 2026

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

May 19, 2026

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

May 18, 2026

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

May 18, 2026

cside nombrado SourceForge Spring 2026 Top Performer en seguridad del lado del cliente

cside fue nombrado SourceForge Spring 2026 Top Performer, señal de confianza de usuarios en seguridad del lado del cliente y PCI.

May 13, 2026

cside copreside la seguridad antifraude del navegador en W3C

Simon Wijckmans ahora copreside el AFCG del W3C mientras cside ayuda a definir señales privadas contra el fraude con IA.

May 12, 2026

Como los agentes OpenClaw evaden la deteccion de bots (y como detenerlos)

Los agentes OpenClaw combinados con herramientas de navegador sigiloso pueden evadir la deteccion de bots heredada. Aprende como funciona el fraude agentico y como el fingerprinting del navegador ayuda a detenerlo.

Apr 28, 2026

Cómo los datos de ubicación avanzados previenen el robo de cuentas y detectan la reutilización insegura de tokens por agentes de IA

Cómo los datos de ubicación avanzados ayudan a los equipos de seguridad a detectar viajes imposibles, reutilización de sesiones robadas y actividad insegura de agentes de IA antes de que el robo de cuentas derive en fraude o pérdida de datos.

Apr 15, 2026

Cómo los scripts de terceros comprometidos pueden inyectar prompts en agentes de IA

Los scripts de terceros ya adaptan el comportamiento de los sitios web según las características del navegador. Esa misma flexibilidad puede aprovecharse para detectar agentes de IA e inyectar instrucciones engañosas o contenido alterado.

Apr 13, 2026

DarkSword: cadena de exploits en JavaScript puro convierte sitios web legítimos en armas

DarkSword es una cadena de exploits completa para iOS distribuida mediante ataques de abrevadero en sitios web legítimos comprometidos. Se ejecuta íntegramente en JavaScript, evade las mitigaciones binarias y despliega backdoors basados en JavaScript que exfiltran datos sensibles.

Mar 20, 2026

Compromiso de la cadena de suministro del SDK web de AppsFlyer - ladrón de criptomonedas polimórfico

Un secuestro de DNS a nivel de registrador en appsflyer.com sirvió un payload polimórfico de robo de criptomonedas a través del SDK web de AppsFlyer, afectando a miles de sitios y a algunos entornos de servidor Node.js. Esta publicación resume la telemetría, los indicadores forenses, los IOCs, la guía de detección y los pasos de remediación.

Mar 18, 2026

Escáner OpenClaw para Scripts de Terceros

Un escáner gratuito y de código abierto que inventaría scripts de terceros, detecta fingerprinting, audita cabeceras de seguridad y cookies, y señala la exposición a PCI DSS en páginas de pago. Ejecuta una auditoría rápida de 30 segundos para descubrir qué código se ejecuta en el navegador de tus usuarios.

Mar 18, 2026

Dentro de Coruna - Exploit de Script Web para iOS

Tu sitio web podría haber sido utilizado para distribuir este kit de exploits para iOS sin que lo supieras. Un análisis técnico completo de Coruna: cinco cadenas de exploits, 23 CVEs y la infraestructura de distribución que convierte cualquier sitio web en un vector de ataque potencial.

Mar 8, 2026

"Microsoft Clairty" no es Microsoft Clarity: desofuscando un script de fraude publicitario por typosquatting

cside detectó una nueva inyección maliciosa del lado del cliente originada en una extensión de navegador maliciosa que suplanta a Microsoft Clarity y sobreescribe tokens de referido para redirigir ingresos de afiliados hacia un actor malicioso.

Mar 3, 2026

Mejores prácticas para proteger scripts de terceros en páginas web

Los scripts de terceros pueden exponer datos sensibles en los navegadores de tus usuarios. Aprende las mejores prácticas para proteger el código del lado del cliente y reducir el riesgo de brechas.

Jan 21, 2026

Las mejores herramientas de seguridad del lado del cliente para aplicaciones web

Las aplicaciones web aprovechan los scripts del lado del cliente. Un enfoque de monitoreo multicapa es la mejor manera de detectar actividad sospechosa en esos scripts.

Jan 15, 2026

Cómo detectar tráfico VPN en un sitio web

Las leyes de verificación de edad en EE. UU. y el Reino Unido exigen que las empresas impidan el acceso de menores a contenido restringido, incluidos controles contra el uso de VPNs.

Jan 14, 2026

Predicciones de seguridad web para 2026 del CEO de cside

2026 será diferente a años anteriores. Estaremos atentos a: phishing potenciado por deepfakes, recomendaciones de seguridad alucinadas por LLMs y atacantes mediante agentes de IA.

Jan 8, 2026

Las diferencias en las soluciones de seguridad del lado del cliente

Cuando un usuario visita un sitio, un servidor web indica al navegador que busque contenidos. Algunos de servidores administrados por el propietario del sitio web, a veces de terceros. Las soluciones de seguridad del lado del cliente tienen como objetivo devolver el control al propietario del sitio web, porque es responsable de las herramientas de su sitio.

Jan 6, 2026

¿La mejor seguridad del lado del cliente para el comercio electrónico?

Los sitios de comercio electrónico son grandes consumidores de etiquetas de seguimiento del lado del cliente, lo que crea un riesgo significativo de filtración maliciosa de datos confidenciales, pero también de etiquetas legítimas que recopilan más datos de los necesarios para venderlos a los intermediarios de datos. La solución cside resuelve estos problemas con facilidad.

Dec 26, 2025

¿La mejor seguridad del lado del cliente para las instituciones financieras?

Los objetivos de los estados-nación, como las instituciones financieras, deben asociarse con proveedores que comprendan las limitaciones y trabajen para acercarse lo más posible a la cobertura total. Lea por qué muchos eligen el modelo multicapa de cside.

Dec 24, 2025

El ataque a British Airways de 2018 - La historia completa

El ataque a British Airways de 2018 afectó a 429.612 personas. Descubre por qué cside compró el dominio del atacante para convertirlo en una lección sobre seguridad web moderna.

Dec 15, 2025

Cómo cside llevó la IA a la seguridad del lado del cliente

En 2024, cside lanzó la primera solución de seguridad del lado del cliente con IA integrada para el análisis de seguridad de JavaScript y la automatización del cumplimiento.

Dec 14, 2025

Respondiendo a las afirmaciones incorrectas de Reflectiz sobre cside

Descubre por qué las afirmaciones de Reflectiz basadas en escáneres sobre cside son incorrectas y cómo la seguridad client-side en tiempo real de cside ofrece una protección más profunda, análisis forense completo de payloads y cumplimiento con PCI DSS 4.0.1.

Dec 8, 2025

Gestión de Integridad de Scripts para Marcas de E-commerce (SRI, Scripts Dinámicos)

Análisis en profundidad sobre integridad de scripts vs. Subresource Integrity vs. monitoreo de comportamiento para el cumplimiento de PCI DSS 6.4.3, 11.6.1, ISO 27001 e HIPAA.

Nov 26, 2025

El incidente de Cloudflare: cómo cside minimizó el impacto en sus clientes

El 18 de noviembre, Cloudflare sufrió un incidente que afectó a miles de clientes. Este blog explora cómo limitamos el impacto en nuestros propios clientes.

Nov 21, 2025

Por qué las apps móviles WebView son peligrosas para la banca

Las "apps" bancarias que se ejecutan en entornos de navegador exponen credenciales sin que los equipos lo noten. Este artículo explora ejemplos de ataques a apps móviles WebView.

Nov 21, 2025

Arquitecturas fail-open: la importancia de estar preparado para un mal día.

Los clientes preguntan con frecuencia: "¿qué pasa si cside se cae?" o "¿añadirá latencia?". Así es como nuestra arquitectura fail-open está preparada para un mal día.

Nov 14, 2025

Cómo eludir agentes JavaScript, CSP y crawlers (pruebas de seguridad del lado del cliente)

La mayoría de las herramientas de cumplimiento del lado del cliente pueden eludirse fácilmente. Te mostramos cómo probar las debilidades en CSP, crawlers y agentes JS, además de alternativas más seguras.

Oct 21, 2025

¿Qué es la seguridad del lado del cliente?

La seguridad del lado del cliente monitoriza el JavaScript, los scripts de terceros y los píxeles que se ejecutan en los navegadores de sus usuarios. Detecta amenazas como el skimming Magecart, el formjacking y la exfiltración de datos en el momento en que se ejecutan en el entorno de ejecución del navegador.

Oct 2, 2025

La documentación de Mockito fue secuestrada

Algunos ataques son ridículamente simples. Mockito, un popular paquete de código abierto, contenía un enlace malicioso en su documentación de Github.

Sep 30, 2025

Riesgos de Seguridad del Vibe Coding: Exposiciones en el Lado del Cliente en Plataformas de IA (Lovable, Copilot, Cursor y más)

Entiende las vulnerabilidades más comunes en el código generado con plataformas de IA como Lovable, Copilot, Cursor y Replit. Aprende a corregirlas antes de publicar.

Sep 30, 2025

Qué deben buscar los QSA al evaluar PCI 6.4.3 y 11.6.1

Hemos preparado una lista de verificación resumida, señales de alerta a tener en cuenta y las diferencias de cumplimiento entre CSP, rastreadores y scripts del lado del cliente.

Sep 9, 2025

Informe de Ataques del Lado del Cliente Q2 2025

La investigación de cside descubrió más de 72.000 sitios web comprometidos, revelando cómo los atacantes dependen de mecanismos de entrega basados en JavaScript, vulnerabilidades en la cadena de suministro de terceros y tácticas engañosas de ingeniería social basadas en el navegador, como actualizaciones falsas del navegador.

Jul 30, 2025

El punto ciego de la PII en la seguridad web

Pero la PII circula por el frontend, donde los controles son más débiles y la visibilidad suele ser limitada.

Jul 30, 2025

El sistema de verificación de edad en internet del Reino Unido explicado desde la ciberseguridad

El objetivo del sistema de verificación de edad en internet del Reino Unido es proteger a los menores que navegan por la red. Sin embargo, estas comprobaciones traen consigo nuevos riesgos de ciberseguridad y preocupaciones sobre la privacidad.

Jul 29, 2025

cside en la Reunión Comunitaria de América del Norte PCI SSC 2025

Estaremos presentes en la Reunión Comunitaria de América del Norte PCI SSC 2025, del 16 al 18 de septiembre.

Jul 24, 2025

Cómo las extensiones de Chrome pueden eliminar cabeceras de seguridad

Muchos navegadores actualizan las extensiones de forma activa sin requerir aprobación explícita ni confirmación del usuario. Esto significa que una extensión puede comportarse de manera completamente diferente de un día para otro, sin que el usuario sea notificado.

Jul 21, 2025

¿Cuál es la tecnología líder para prevenir el skimming de tarjetas de crédito?

El Informe Biannual de Amenazas de Primavera 2025 de Visa identifica el skimming digital como una de las 'amenazas más prolíficas y constantes' del ecosistema de pagos.

Jul 21, 2025

cside en BlackHat USA 2025

cside estará presente en BlackHat USA 2025.

Jul 9, 2025

Por qué los crawlers no pueden ayudar con el cumplimiento de PCI (por sí solos)

Los crawlers actúan como un usuario pero claramente no son un usuario humano real. Si un script malicioso se inyecta debido a una interacción del usuario, el crawler no verá el script malicioso a menos que realice esa interacción del usuario

Jul 3, 2025

Cumplimiento PCI 4.0.1: Webinar de Guía Práctica de Implementación

Nos asociamos con VikingCloud, la mayor firma global de cumplimiento PCI QSA y seguridad, en 2 webinars que te dan el contexto completo e información para implementar PCI DSS 4.0.1. Con especial atención a los requisitos 6.4.3 y 11.6.1.

Jun 26, 2025

Por qué nos llamamos cside

Nos pusimos el nombre de la parte de la web que nadie más estaba protegiendo: el lado del cliente.

Jun 25, 2025

Actores maliciosos de Corea del Norte intentan infiltrarse en empresas tecnológicas

Cómo detectar candidatos fraudulentos en procesos de selección.

May 1, 2025

Resumen de ataques del lado del cliente – Q1 2025

La investigación de cside descubrió casi 300.000 sitios web comprometidos en el primer trimestre de 2025.

Apr 30, 2025

VikingCloud aprueba cside para los requisitos 6.4.3 y 11.6.1 de PCI DSS

cside se ha asociado con VikingCloud para realizar una evaluación técnica exhaustiva de las soluciones de seguridad que ofrecemos en el plan enterprise dentro del ámbito del cumplimiento PCI. Esto garantiza total tranquilidad de que, con una implementación correcta de nuestros productos, se cumplen los requisitos 6.4.3 y 11.6.1.

Apr 24, 2025

¿Existe algún método "gratuito" para cumplir con PCI DSS 6.4.3 y 11.6.1?

La respuesta corta: Sin una solución lista para usar, tendrías que construir una herramienta de monitoreo propia que costaría significativamente más en salarios que los costos de un proveedor con solución preconfigurada.

Apr 23, 2025

¿Necesitas PCI SSF o PCI DSS? Aquí está la diferencia

PCI SSF es para el software, y PCI DSS es para todo lo demás. Vamos a verlo en detalle.

Apr 22, 2025

¿Se puede usar Adyen para cumplir con PCI DSS?

Sí, PERO dependiendo de la integración, tu empresa sigue siendo responsable de garantizar el cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

Mar 21, 2025

¿Puedes usar PayPal (Braintree) para PCI DSS?

Sí, PERO dependiendo de la integración, tu empresa sigue siendo responsable de garantizar el cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

Mar 21, 2025

¿Es Stripe compatible con PCI DSS? Lo que los comerciantes aún deben hacer

Stripe tiene certificación PCI Nivel 1. Los comerciantes siguen siendo responsables de la monitorización de scripts en la página de pago según §6.4.3 y §11.6.1.

Mar 21, 2025

Evento BSidesSF y RSAC

Cuando cside exhibe, ¡las afterparties llegan a la ciudad! Organizadas por nosotros, Socket, Arcjet e Incident. Encuentra nuestro stand en BSidesSF (sigue el láser), y el stand 2438 en RSAC. Regístrate para el 30 de abril Agenda una reunión Únete a nosotros para la experiencia definitiva de networking en ciberseguridad en el Rooftop de nuestro inversor Uncork Capital en San Francisco. Organizados por cside, Socket, Arcjet e Incident, estos eventos exclusivos reúnen a más de 250 profesionales de tecnología, ciberseguridad y BS

Mar 13, 2025

Cómo ser una empresa PCI DSS SAQ A (6.4.3 y 11.6.1)

Una sola frase genera debate. Dado que los sitios cargan scripts de forma dinámica, un script de cualquier página puede persistir hasta el proceso de pago e interferir potencialmente con las transacciones. Los scripts de terceros, aunque no estén relacionados o se carguen en páginas anteriores a las de pago, pueden introducir vulnerabilidades.

Mar 7, 2025

Ataque a Bybit: 1.500 millones de dólares robados mediante JavaScript malicioso

Los atacantes inyectaron JavaScript malicioso en la interfaz web que los empleados de Bybit utilizan habitualmente para aprobar transacciones. Este código malicioso estaba oculto de tal forma que todo parecía normal en pantalla, pero en segundo plano modificaba detalles importantes.

Feb 27, 2025

cside ya cumple con SOC2

Nos complace anunciar que hemos superado la auditoría SOC2 tipo 2 con el mayor nivel de aprobación posible.

Feb 5, 2025

Desmitificando las actualizaciones de enero de 2025 al SAQ A de PCI DSS

Una explicación detallada completa, diagrama y guía sobre los cambios relacionados con PCI DSS 4.0.1 - 6.4.3 y 11.6.1

Feb 2, 2025

El seguimiento de afiliados y sus riesgos de ciberseguridad

Los actores maliciosos suelen explotar los píxeles de seguimiento para inyectar scripts dañinos en sitios web aparentemente normales.

Jan 20, 2025

Por qué la Política de Seguridad de Contenido no funciona

La Política de Seguridad de Contenido (CSP) es una función de seguridad que ofrecen los navegadores web y que los propietarios de sitios pueden usar para definir un conjunto de reglas que controlan qué recursos (p. ej., scripts, estilos, imágenes) puede cargar y ejecutar el navegador. A esto lo llamamos el lado del cliente, que se encuentra al final de la cadena de suministro web. Cuando está correctamente configurada, ayuda a prevenir una amplia gama de ataques. Pero esas tres primeras palabras marcan toda la diferencia.

Jan 7, 2025

Riesgos de seguridad y cumplimiento en los marketplaces publicitarios

Para las empresas que monetizan mediante modelos de marketplace publicitario, las redes de publicidad de terceros, las plataformas de analítica y los scripts de marketing son indispensables. Son necesarios para generar ingresos impulsando el engagement y rastreando el comportamiento de los usuarios.

Dec 23, 2024

Un nuevo peligro de las Progressive Web Apps que muy pocos conocen

El aumento en la adopción de PWAs trae consigo un incremento en los riesgos de seguridad del lado del cliente. ¿Y la industria? Apenas lo está discutiendo.

Dec 20, 2024

El ataque de Polyfill[.]io - Mucho más que un simple ataque de redirección

Una redirección fue solo lo que se capturó. Con el control de un script de terceros en medio millón de sitios, era posible algo mucho peor. Aquí está por qué importó.

Dec 6, 2024

Cómo las extensiones web pueden dañar tu sitio (INFIRC[.]com e INFIRD[.]com)

Los dominios infirc[.]com e infird[.]com han causado bastante revuelo recientemente, y han destacado los peligros de las extensiones web infectadas o maliciosas

Oct 18, 2024

El hackeo del Internet Archive: Cómo JavaScript encaja en el panorama

El Internet Archive, también conocido como The Wayback Machine, experimentó una brecha de seguridad ayer. Esta no fue la primera vez que fue at

Oct 18, 2024

Los mayores ataques Magecart de la historia (hasta ahora)

Los ataques Magecart inyectan skimmers JavaScript en páginas de pago para robar datos de tarjetas. Los mayores incidentes y cómo prevenirlos.

Oct 17, 2024

Nuevas TTPs para el robo de PII e información financiera en sitios web Magento

En cside, monitorizamos activamente los ataques a la cadena de suministro del lado del cliente, con especial atención a las tácticas, técnicas y procedimientos (TTPs) en evolución utilizados por los actores de amenazas. Uno de los ataques más frecuentes que hemos observado en los últimos meses es el dirigido a sitios web de comercio electrónico construidos sobre el framework Magento. En particular, hemos seguido de cerca el ataque Cosmic Sting (CVE-2024-34102), ampliamente documentado, incluso por Sansec (https://sansec.io/research/cosmicsting). TTP Reciente Observ

Oct 14, 2024

¿Por qué los sitios web necesitan scripts de terceros?

Al desarrollar un sitio web, a menudo incluirás bibliotecas para ayudar a acelerar el proceso de desarrollo y evitar reinventar la rueda. Sin embargo

Oct 10, 2024

cside se une al PCI Security Standards Council como Organización Participante Asociada

Nos complace anunciar que nos hemos unido al Payment Card Industry Security Standards Council (PCI SSC) como Organización Participante Asociada. El PCI SSC lidera un esfuerzo global e intersectorial para mejorar la seguridad de los pagos mediante el establecimiento de estándares de seguridad de datos flexibles e impulsados por la industria. A través de la colaboración con otros líderes del sector, la misión del Consejo es proteger los datos de pago frente a amenazas emergentes y satisfacer las necesidades cambiantes del ecosistema de pagos. Como Organización Participante Asociada

Oct 7, 2024

Carlsberg, objetivo de un ataque de malware "CosmicSting" en Magento

El término "Magecart" hace referencia a ataques contra la plataforma Magento. Recientemente, se detectó una nueva campaña masiva dirigida a sitios Magento. Entre los afectados, Carlsberg fue uno de los sitios web comprometidos. El patrón de estos ataques es casi siempre el mismo: una sola línea de JavaScript carga contenido desde un sitio web remoto, es decir, un script de terceros. Ese código está fuertemente ofuscado para dificultar aún más su detección. En este caso, el proceso de pago fue modificado de forma silenciosa. Se añadió un método de pago falso

Oct 4, 2024

cside se une al W3C

Estamos increíblemente orgullosos de anunciar que nos hemos unido al Grupo de Trabajo de Seguridad de Aplicaciones Web del W3C. La misión del Grupo de Trabajo de Seguridad de Aplicaciones Web es desarrollar mecanismos y buenas prácticas para mejorar la seguridad de las aplicaciones web. Todo nuestro equipo lleva años involucrado en ciberseguridad. A través de cside, ahora buscamos concienciar y establecer estándares más altos para la seguridad del lado del cliente. Al unir fuerzas, estamos un paso más cerca de alcanzar ambos objetivos. Queremos agradecer públicamente

Oct 4, 2024

Los feeds de amenazas no detectaron el ataque durante más de 2 años

En este sitio web podemos ver que ha estado activo desde agosto de 2022. Hemos notificado este ataque a este y otros sitios web.

Oct 2, 2024

¿Por qué los desarrolladores ofuscan JavaScript?

Como empresa de seguridad del lado del cliente que protege JavaScript, vemos muchos scripts ofuscados. Cuando usas nuestra herramienta, puedes ver la versión desofuscada de los scripts para entender qué están haciendo. La desofuscación existe desde hace tiempo, pero ¿por qué se ofusca el código en primer lugar? La ofuscación de JavaScript surgió para proteger el código fuente de las aplicaciones web de ser fácilmente comprendido, copiado o explotado por usuarios no autorizados. La ofuscación como concepto es anterior a JavaScript y a

Oct 1, 2024

Tiempo de inactividad no reportado y preocupaciones de seguridad en ButterCMS

ButterCMS es una herramienta popular utilizada para gestionar contenido de blogs. A principios de esta semana, notamos un incidente de seguridad potencialmente grave que

Sep 23, 2024

cside cierra una ronda semilla de $6M

Nos enorgullece enormemente anunciar nuestra ronda semilla de $6M, apenas seis meses después de cerrar nuestra ronda pre-semilla de $1,7M. Liderada por Uncork Capital, con la participación de Mantis y PrimeSet. También damos la bienvenida de nuevo a Scribble VC y Roar Ventures, que nos apoyaron en la pre-semilla. Junto con esta noticia, hemos abierto nuestro nivel gratuito para todos. Ya puedes registrarte y empezar a usar cside para monitorizar, proteger y optimizar scripts de terceros. Fundamos cside para poner la seguridad del lado del cliente en el mapa. Para t

Sep 16, 2024

cside seleccionada para el TechCrunch Disrupt Startup Battlefield 2024

Nos llena de orgullo anunciar que fuimos seleccionados para el TechCrunch Disrupt Startup Battlefield 2024. Los participantes de este año abarcan inteligencia artificial (IA), software como servicio (SaaS), fintech, seguridad, sostenibilidad, exploración espacial y mucho más. De entre miles de startups, solo 200 logran pasar el corte, y estamos absolutamente emocionados de formar parte de este selecto grupo. Estamos deseando presentar nuestro producto al mundo del 28 al 30 de octubre en el Moscone West de San Francisco.

Sep 5, 2024

Cómo acelerar JavaScript

Las tasas de conversión están correlacionadas con las velocidades de carga del sitio. Pero los sitios de e-commerce tienen una gran cantidad de JavaScript que ralentiza las cosas... la solución está aquí.

Sep 2, 2024

¿Qué son los skimmers digitales?

Recientemente, conocimos una nueva campaña de ciberataques de gran envergadura que afectó a cientos de tiendas en línea, aprovechando vulnerabilidades en scripts y plugins de terceros. Este es un ejemplo perfecto de un 'skimmer digital'. Los skimmers digitales son fragmentos de código inyectados de forma maliciosa en sitios web legítimos. Su objetivo es obtener información personal y de tarjetas de crédito. Este problema está en aumento y es parte de la razón por la que se creó cside. Nuestro proxy es capaz de detectar este código malicioso y evitar que afecte

Aug 29, 2024

Por qué los navegadores se están volviendo cada vez más peligrosos

Tecnologías como WebAssembly (WASM), WebGPU e IndexedDB han transformado lo que los navegadores pueden lograr. Esta evolución ha expandido la func

Aug 23, 2024

El verdadero costo de un ciberataque

Calcular el verdadero costo de un ciberataque es difícil. Ninguno es igual. Sin embargo, reportamos esto con el mayor detalle posible para representar con precisión el panorama completo de cuando esto le sucede a tu negocio.

Aug 12, 2024

¿Es Tuaw una estafa en desarrollo?

Cuando vimos el nuevo video de Fireship ayer, inmediatamente recordamos el reciente ataque de Polyfill. Nuestro primer artículo fue recogido y

Aug 2, 2024

El ataque event-stream a Copay ilustra los riesgos de las dependencias

El ecosistema JavaScript sufrió un golpe significativo con un sofisticado ataque contra Copay, un popular proveedor de carteras de criptomonedas, en noviembre de 2018. Conocido como el ataque event-stream, este incidente puso de manifiesto las vulnerabilidades críticas asociadas a la dependencia de paquetes de terceros en el desarrollo de software. Copay se conoce ahora como Bitpay Wallet. Entendiendo el ataque Event-stream, un popular paquete npm, era ampliamente utilizado por numerosos proyectos para gestionar eficientemente flujos de datos

Jul 29, 2024

El ciberataque a Segway explicado

En enero de 2022, la tienda web de Segway sufrió un ataque a la cadena de suministro web, también conocido como ataque Magecart. En este tipo de ataques, se añade código JavaScript malicioso que se carga desde el lado del cliente, conocido como scripts de terceros. Muchas herramientas comunes son scripts de terceros: analíticas, captchas y más. Pero esta vía también puede utilizarse con fines maliciosos, como fue el caso aquí. En este ataque a Segway, su tienda está montada sobre Magento. Los atacantes aprovecharon vulnera

Jul 25, 2024

No despliegues scripts en todo el sitio

Los scripts de terceros suelen desplegarse en todo el sitio, generalmente inyectados en las etiquetas head de frameworks web como Next.js a través del archivo '_document.js'. Esta implementación generalizada, aunque cómoda para los desarrolladores y frecuentemente recomendada en las guías de incorporación, hace que estos scripts se ejecuten en todo el sitio. Es más sencillo de implementar, pero también introduce riesgos de seguridad y problemas de rendimiento que a menudo se pasan por alto. La reciente filtración de datos de Kaiser Permanente muestra los peligros de tener scripts de terceros mal gesti

Jul 22, 2024

Qué es un vector de ataque y cuáles son los ocultos

Un vector de ataque en ciberseguridad es la forma en que un atacante aprovecha las debilidades de seguridad. Algunos son más difíciles de detectar que otros. Uno en el que nos hemos centrado es el JavaScript de terceros. Dado que estos scripts son instalados por el propietario del sitio web pero se ejecutan en los navegadores de los visitantes, ocupan una posición única. Si ocurre algo malicioso dentro de estos scripts, ninguna de las partes lo sabe. El visitante se ve afectado y el propietario del sitio web asume la responsabilidad. Lo hemos visto demasiadas veces, por ejemplo, el

Jul 15, 2024

Cómo los dominios expirados conducen a ciberataques

Cómo los dominios expirados conducen a ataques de ciberseguridad En 2018, British Airways fue atacada mediante la explotación de un paquete JavaScript de terceros

Jul 8, 2024

El ataque de Polyfill explicado

Un archivo JavaScript manipulado inyectado por el dominio polyfill[.]io redirigió a un porcentaje de usuarios a sitios web para adultos y de apuestas según su User-Agent. Un usuario japonés de X, "piyokango", fue probablemente el primero en reportar este ataque el 24 de junio.

Jul 3, 2024

¿Qué es la cadena de suministro del navegador?

cside es un producto de ciberseguridad que opera en el espacio de la cadena de suministro del navegador. Nosotros y otros proveedores que trabajamos aquí solemos hablar de esa cadena de suministro. Pero, ¿qué queremos decir exactamente con eso? La cadena de suministro del navegador es el conjunto de componentes y procesos que se combinan para renderizar páginas web, ejecutar scripts y garantizar un funcionamiento fluido. Esta cadena incluye todo, desde la solicitud inicial de una página web hasta la representación final de esa página en el navegador del usuario. Así como los comportamientos dinámicos que ocurren después de que el sitio se ha renderizado.

Jul 2, 2024

Más de 490k sitios web atacados en un ataque a la cadena de suministro web

El dominio cdn.polyfill[.]io está siendo usado en un ataque a la cadena de suministro web. Fuimos los primeros en reportar la escala real: más de 490.000 sitios afectados.

Jun 25, 2024

El ataque a la cadena de suministro de BrowseAloud: Un caso de estudio en cryptojacking

Este ataque afectó a más de 4,000 sitios web, incluyendo sitios gubernamentales y educativos, exponiendo a miles de usuarios al cryptojacking sin su conocimiento.

Jun 10, 2024

El Riesgo de la Cadena de Suministro No Termina en NPM

Al solo verificar NPM (u otro registro), no estás protegido contra ataques a través de scripts de terceros.

May 30, 2024

Déjà Vu con la Filtración de Datos de Ticketmaster: Lo Que Necesitas Saber

El 29 de mayo de 2024, se conoció la noticia de una presunta filtración de datos que involucra a Ticketmaster, una destacada empresa de venta y distribución de entradas. Ticketmaster ha confirmado actividad no autorizada en un entorno de base de datos en la nube de un tercero, y se afirma que se expuso la información personal de más de 500 millones de clientes. La filtración incluye datos sensibles como correos electrónicos, números de teléfono, direcciones y datos financieros. ShinyHunters, un atacante de renombre, republicó la filtración. Según los informes,

May 30, 2024

Filtración de datos de Kaiser Permanente: Un caso de mala comunicación y divulgación inadecuada

El 29 de abril, el gigante sanitario Kaiser Permanente reveló una filtración de datos que afectó a 13,4 millones de miembros actuales y anteriores de su seguro médico. El incidente tuvo su origen en scripts de terceros gestionados de forma incorrecta. Kaiser Permanente utilizaba códigos de seguimiento para monitorizar cómo sus miembros navegaban por su sitio web y aplicaciones móviles. Algunas de estas páginas contenían datos sanitarios sensibles, lo que provocó que los scripts de terceros transmitieran inadvertidamente información a proveedores externos que no debían tenerla.

May 25, 2024

Los Feeds de Amenazas en la Era de la IA

La idea detrás de los feeds de amenazas es válida. Pero podríamos argumentar que ya pasó su mejor momento. Y con la tecnología actual, existen mejores opciones. Los feeds de amenazas son (a menudo) una lista de información de seguridad generada por la comunidad. Cuando alguien detecta una vulnerabilidad, publica un aviso en el feed de forma manual. Luego se recoge y aparece en el feed, donde los profesionales de seguridad de sus respectivas empresas lo leen y comprueban sus propios sistemas para ver si están expuestos a un posible peligro.

Apr 28, 2024

La vulnerabilidad de cdnjs de 2021 en detalle

Verificar que las fuentes de scripts de terceros sean de confianza es importante. Pero eso por sí solo puede no ser suficiente. Eso es lo que el mundo aprendió en 2021, cuando se detectó una vulnerabilidad masiva en el cdnjs de Cloudflare. Aquí está el resumen de qué ocurrió y cómo sucedió. Cdnjs es una de las redes de distribución de contenido (CDN) de JavaScript más utilizadas hoy en día. Más del 12% de todos los sitios web en internet inyectan al menos un script a través de cdnjs. Un investigador con el nombre de pantalla 'RyotaK' compartió una vulnerabilidad de cadena de sum

Apr 28, 2024

El riesgo de proteger solo tus portales de pago frente a ataques de JavaScript de terceros

PCI DSS 4.0 ya está aquí. A partir de marzo de 2025, exige que los portales de pago cuenten con un mecanismo para autorizar cada script en las páginas de pago. Los sitios web deben mantener un inventario de todos los scripts (al menos en esos portales de pago) y garantizar su integridad. Ahora es necesario detectar y responder a modificaciones no autorizadas en las páginas de pago, incluidos cambios en las cabeceras HTTP y el contenido de las páginas. Las organizaciones deben verificar estas configuraciones al menos una vez cada siete días o según lo determine su análisis de riesgos.

Apr 15, 2024

Guía completa y pasos de PCI DSS 4.0.1

Guía completa y pasos de PCI DSS 4.0. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de directrices que garantiza la seguridad

Mar 4, 2024
Reservar una demo