Blog

¿La mejor seguridad del lado del cliente para las instituciones financieras?

Los objetivos de los estados-nación, como las instituciones financieras, deben asociarse con proveedores que comprendan las limitaciones y trabajen para acercarse lo más posible a la cobertura total. Lea por qué muchos eligen el modelo multicapa de cside.

Dec 24, 2025 • 7 min read

Simon Wijckmans Founder & CEO

La mejor seguridad del lado del cliente para instituciones financieras - imagen del banner

TL;DR:

Dada la sensibilidad al cumplimiento, los mejores proveedores para instituciones financieras deben tener certificaciones SOC2 Tipo 2, PCI DSS SAQ-D y más.
Las instituciones financieras son objetivos de los estados-nación para los malos actores. Por lo tanto, los mejores proveedores de seguridad para ellos invierten en estar a la vanguardia de la capacidad técnica. Lo suficientemente bueno no es lo suficientemente bueno. Un indicador de la actitud correcta hacia la vanguardia es la contribución a organizaciones de estándares como el W3C, IETF y TC39.
La seguridad consiste en capas: un proveedor que ofrece un modelo de seguridad de múltiples capas ayuda a las empresas a mantenerse seguras cuando los delincuentes intentan crear puentes para las capas de seguridad.
Conclusión: la mejor solución para las instituciones financieras es el enfoque multicapa de cside.

¿Qué es la seguridad del lado del cliente?

La seguridad del lado del cliente es la práctica de proteger las dependencias de JavaScript, los datos del usuario y los comportamientos que se ejecutan dentro del navegador del visitante.

Esto incluye:

Scripts propios: archivos JavaScript cargados desde su propio dominio
Scripts de terceros: desde herramientas de análisis, anuncios, chatbots, administradores de etiquetas, herramientas de prueba A/B
Scripts en línea, contenido incrustado como widgets y SDK
Datos procesados o recuperados por el navegador

Todo lo que sucede después de la respuesta HTML inicial del servidor web es una acción del lado del cliente. Los atacantes utilizan cada vez más el navegador para ejecutar acciones maliciosas en un intento de obtener información confidencial valiosa. Cuando los datos se obtienen de un dominio de terceros, los scripts a menudo se sirven de manera diferente según la IP, los encabezados de solicitud, la hora del día, la ubicación, etc.

Por ejemplo: una herramienta de marketing recopilará datos diferentes en Europa que en EE. UU. para cumplir con la privacidad de los datos.

Especialmente para objetivos de alto valor, utilizar una recuperación del lado del cliente para inyectar una carga útil maliciosa es una acción común porque es mucho más difícil de detectar y el mal actor puede pasar desapercibido durante mucho tiempo a menos que se utilice una solución de seguridad de tiempo de ejecución del lado del cliente.

¿Por qué se clasifica a las instituciones financieras como un objetivo de estado-nación?

Algunos malos actores no sólo buscan ganar dinero rápido. Pueden estar patrocinados por el Estado e incentivados para causar estragos. Desestabilizar los servicios esenciales necesarios para hacer funcionar las economías.

Las instituciones financieras son un objetivo principal y su tamaño y exposición conllevan riesgos adicionales y, por tanto, oportunidades para los malos actores. Cuando los bancos quiebran, también lo hace la economía.

Las instituciones financieras se encuentran en el mismo ámbito que los entornos de TI gubernamentales, los proveedores de atención médica a gran escala y las infraestructuras críticas como el transporte público y los proveedores de energía.

Para generar credibilidad en el sector financiero, las marcas pasan por un importante proceso de varios años para ganarse la confianza de los clientes de varios tipos. Esto conlleva una importante deuda técnica a través de aplicaciones heredadas.

Una infraestructura amplia y heredada aumenta la superficie de ataque

No es un secreto de la industria que muchas de las grandes instituciones financieras todavía funcionan con COBOL. un trabajo de investigación Por un miembro del personal técnico de PayPal plantea el problema muy claramente: "La infraestructura bancaria tradicional a menudo está desactualizada y lucha por satisfacer las crecientes demandas de servicios digitales fluidos y en tiempo real".

Lo que significa que las aplicaciones web heredadas a menudo se superponen con tecnologías más modernas que aumentan la superficie de ataque para ofrecer nuevas experiencias de usuario. Al aprovechar los back-ends vulnerables para inyectar scripts del lado del cliente o apuntar a dependencias heredadas para infiltrarse en la cadena de suministro, los malos actores pueden causar graves daños a las economías globales.

Los ataques del lado del cliente se dirigen a activos específicos

Los ataques del lado del cliente contra instituciones financieras suelen tener como objetivo:

Credenciales de usuario y tokens de sesión para obtener acceso a las cuentas
información de la tarjeta de pago
Extractos bancarios e información de identidad confidencial

Estrictos requisitos normativos y de cumplimiento

Las instituciones financieras están sujetas a una lista sustancial de marcos de cumplimiento para poder operar, su licencia bancaria depende del cumplimiento. Esto va desde el cumplimiento de PCI DSS, DORA, leyes de privacidad locales como CCPA o GDPR y como señal de confianza, pero a menudo un requisito para los clientes comerciales: SOC2 Tipo 2, ISO 27001...

¿Qué enfoque es mejor para las instituciones financieras?

Dada la gravedad del objetivo, hay poco margen de error. Por eso una buena solución debe adaptarse a la aplicación como un guante.

Por lo tanto, lo ideal es un enfoque por capas. Especialmente si la solución en cuestión es personalizable y crea transparencia y control donde antes faltaba control.

Es por eso que construimos cside como una plataforma que aprovecha todas las diferentes capas disponibles hasta la fecha.

cside ofrece dos métodos de despliegue complementarios, combinados con varios motores de detección, incluidos modelos de lenguaje grandes de código abierto para el análisis.

Método Script (el más fácil): comprobamos el comportamiento de los scripts en el navegador y obtenemos los scripts por nuestro lado, luego verificamos que sea el mismo script. No nos colocamos en la ruta de un script a menos que nos lo pidas explícitamente. Fácil de implementar, sin impacto en el rendimiento, y aun así puedes detener acciones de scripts o bloquear por URL, hash o dominio.
Método Escaneo (el más rápido): si no puedes añadir un script a tu sitio, cside lo analiza utilizando inteligencia sobre amenazas procedente de miles de sitios web con miles de millones de visitas combinadas. Rápido de configurar y útil cuando la instalación de un script no es posible.

También ofrecemos un endpoint de Content Security Policy para que los clientes puedan superponer la aplicación nativa del navegador junto a la detección basada en JavaScript de cside.

La seguridad requiere un modelo multicapa

La mayoría de las herramientas de seguridad se basan únicamente en una de las capas mencionadas anteriormente, ya sea en tiempo de ejecución o en el escaneo externo. Pero el problema es que ninguna de estas capas por sí sola es totalmente a prueba de balas y, por lo tanto, no proporciona una cobertura completa. Combinando motores te acercas cada vez más a una cobertura total.

Muchas soluciones del mercado son funciones secundarias de empresas de seguridad web más grandes. En lugar de crear una plataforma para la seguridad del lado del cliente, crearon una pequeña función secundaria. Estas soluciones están limitadas por el enfoque del negocio. A menudo, el lado del cliente es un área en la que no están dispuestos a invertir recursos sustanciales y, por lo tanto, dependen únicamente de inyectar políticas de seguridad de contenido en el sitio web a través de su WAF.

Algunas soluciones son efectivamente solo escáneres. Los malos actores ven los escáneres y no envían los scripts maliciosos a su verificación puntual. Dado el valor del objetivo, este enfoque es ineficaz.

Para fines de cumplimiento, es conveniente que la solución ofrezca paneles de control específicamente para abordar cada marco. Los marcos vienen con una variedad de controles únicos y recopilar manualmente esos datos es una tarea dolorosa y continua.

Se ha descubierto que algunos enfoques, como las soluciones basadas en escáneres, suelen ser ignorados por los malos actores. Detectan el escáner y le sirven contenido limpio para que vuele por debajo del radar. Investigadores de ISACA, Universidad de Brighton, Google y Oráculo han señalado que los scripts dinámicos del lado del cliente evitan eficazmente el análisis estático de los escáneres.

cside siempre busca ampliar sus capacidades y está impulsando activamente una serie de nuevos estándares que permitirían una mayor seguridad del lado del cliente utilizando la funcionalidad nativa del navegador.

El equipo cside contribuye activamente a organismos estándar como W3C, IETF y TC39.

¿Listo para probar cside? Comienza gratis o reserva una demostración para hablar con nuestro equipo.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Uno en el que se adopta un enfoque por capas. 1. Monitoreo en tiempo de ejecución usando un script 2. Controles de afuera hacia adentro 3. CSP como alternativa adicional Una solución centrada en la calidad de la seguridad en lugar del cumplimiento de casillas de verificación o la conveniencia. Usar un proveedor como cside que tenga sus requisitos de cumplimiento en orden. cside encaja en esta lista como ningún otro.

La economía es la columna vertebral del funcionamiento de la sociedad. Los atacantes patrocinados por el Estado han identificado a las instituciones financieras como objetivos principales para maximizar el impacto, causar estragos y desestabilizar las economías y, como resultado, la democracia. Los sistemas que impulsan la economía son tan esenciales como la infraestructura crítica.

La exposición solo en tiempo de ejecución es fácil de evitar debido a la exposición de las detecciones.

Los escáneres sin agentes reciben lo que el mal actor quiere mostrar. Los atacantes detectan los escáneres y eligen qué mostrar, que probablemente no sea el script malicioso.

Las políticas de seguridad de contenido (CSP) son difíciles de mantener y actúan como una lista de fuentes permitidas, no como un mecanismo de seguridad a nivel de carga o acciones.

Las instituciones financieras atraen a malos actores que analizan activamente los mecanismos de protección para eludirlos. Estos no son ataques tipo spray y oración, por lo que es necesario estratificarlos para acercarse lo más técnicamente posible a una cobertura total, aunque los navegadores no proporcionen de forma nativa una solución de extremo a extremo.

Robo de credenciales.

Secuestro de sesión.

Exfiltración de datos de pago.

Inyección de guiones en la cadena de suministro.

Cada uno apunta a la exposición volumétrica de grandes cantidades de datos de clientes para maximizar el caos y las ganancias financieras.

Los malos actores detectan el escáner y entregan un script benigno, mientras que otros, en circunstancias específicas, reciben el script malicioso.

Al completar un panel de control de aspecto interesante con métricas obtenidas mediante escáner, se crea una falsa sensación de seguridad. Las acciones de las que debe preocuparse no se mostrarán en estas herramientas.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.