Skip to main content
Blog
Blog

Registro de Actividad de Scripts del Navegador y Respuesta a Incidentes: Guía Completa para 2026

Las herramientas SIEM y EDR registran el endpoint. Los WAF registran la red. Ninguno registra lo que hacen los scripts de terceros dentro del navegador de sus usuarios. Esta guía cubre qué captura el registro de actividad de scripts en la capa del navegador y cómo funciona la respuesta a incidentes cuando un script se ve comprometido.

Jul 13, 2026 11 min read
Registro de Actividad de Scripts del Navegador y Respuesta a Incidentes: Guía Completa para 2026

El registro de actividad de scripts en la capa del navegador es la grabación en tiempo real de lo que JavaScript ejecuta dentro del navegador del usuario: cada lectura del DOM, acceso a campos de formulario, solicitud de red, escritura de cookies e inyección dinámica de scripts realizada por código propio y de terceros durante una sesión activa. Es la capa de registro que las herramientas SIEM, EDR y WAF no pueden alcanzar, y donde el skimming Magecart, los compromisos de cadena de suministro y los scripts de secuestro de sesión se ejecutan.

La mayoría de los equipos de seguridad tienen un sólido registro en las capas de servidor, red y endpoint. El entorno de ejecución del navegador, donde los scripts de terceros se ejecutan con los mismos privilegios que el código propio, casi siempre no está monitorizado. Esta guía cubre qué captura un registro de actividad de scripts del navegador, por qué importa la brecha y cómo es la respuesta efectiva a incidentes cuando un script en tu sitio se ve comprometido.

La brecha de registro que la mayoría de las pilas dejan abierta

Una pila de seguridad empresarial típica registra las siguientes capas:

CapaQué registraHerramientas típicas
RedTráfico HTTP/S, DNS, eventos de firewallWAF, NGFW, NDR
EndpointLlamadas al SO, ejecución de procesos, escrituras de archivosEDR, XDR
ServidorRegistros de aplicación, eventos de autenticación, llamadas APISIEM (vía agentes/conectores)
Entorno de ejecución del navegadorEjecución de JavaScript, lecturas del DOM, comportamiento de scriptsAusente en la mayoría de las pilas

El entorno de ejecución del navegador es donde operan los ataques del lado del cliente. Un script Magecart lee el valor de un campo de tarjeta de pago y lo envía a un servidor remoto. Esa lectura ocurre completamente dentro del navegador. La capa de red ve un POST HTTPS después de que los datos ya han salido. El EDR no detecta ningún proceso anómalo. El SIEM no tiene ninguna entrada. El ataque se completa con registros limpios en todas partes, razón por la cual los equipos que quieren detectar Magecart en tiempo real instrumentan el propio navegador.

Diagrama de red frente a sesión de navegador que muestra una sola solicitud entrante, una única IP y un conjunto de cabeceras emitiendo GET /pricing, leída en dos capas: la capa de red con WAF, CDN e inspección de cabeceras e IP ve una IP de proxy residencial, una huella TLS de Chrome 124, una cookie de sesión válida y un user-agent de Chrome 124 y no encuentra ninguna anomalía en una carga limpia, mientras que la capa de sesión de navegador de cside lee el comportamiento dentro de la sesión, un puntero que nunca se mueve, 0,2 segundos de permanencia por página, navegación estrictamente secuencial y sin desplazamiento, y clasifica la sesión como automatizada y le aplica límite de velocidad, porque la capa de red no puede ver dentro de la sesión del navegador

Ante un único GET /pricing desde una sola IP, las dos capas llegan a veredictos opuestos:

Lo que ve la capa de red/servidorLo que ve la capa de sesión de navegador
IP: proxy residencialPuntero: 0 px movidos
TLS: huella de Chrome 124Permanencia: 0,2 s por página
Cookie: sesión válidaNavegación: estrictamente secuencial
User-Agent: Chrome 124Desplazamiento: ninguno
Veredicto: sin anomalía, carga limpiaVeredicto: clasificada como automatizada, sesión con límite de velocidad

Las cabeceras parecen humanas, así que el WAF, la CDN y la inspección de IP dejan pasar la solicitud. La misma sesión, leída en la capa de navegador, nunca mueve el puntero, permanece 0,2 segundos por página y recorre las páginas en orden estricto sin desplazarse: el punto ciego de la red es exactamente donde cside la detecta.

El compromiso de la cadena de suministro de Polyfill[.]io en junio de 2024 demostró esto a escala. Un script alojado en CDN de uso generalizado fue modificado para servir payloads maliciosos a más de 490.000 sitios web. El WAF, SIEM y EDR de cada sitio afectado tenían registros limpios. Las únicas herramientas que podían detectar la anomalía eran las que operaban en la capa de ejecución del navegador.

Qué captura un registro completo de actividad de scripts del navegador

Un registro de actividad en la capa del navegador útil registra seis categorías de comportamiento de scripts:

1. Acceso al DOM y mutaciones

Qué elementos lee o escribe un script, con atención especial a los campos de entrada, elementos de formulario y campos de contraseña. Un script en la página de pago que nunca antes había leído el campo del número de tarjeta pero lo hace en un nuevo despliegue es una anomalía de comportamiento que merece ser marcada de inmediato.

2. Solicitudes de red

Cada fetch(), XMLHttpRequest, navigator.sendBeacon(), píxel de imagen y conexión WebSocket iniciada por un script, incluyendo el dominio de destino, el método de solicitud y si el destino es nuevo o ya conocido. Los nuevos destinos salientes son el principal indicador de exfiltración de datos.

3. Acceso a cookies y almacenamiento

Qué scripts leen o escriben cookies, localStorage y sessionStorage. Los scripts de análisis legítimos rara vez necesitan tokens de sesión. Si uno comienza a leerlos, el comportamiento debe ser marcado.

4. Inyección dinámica de scripts

Scripts que crean nuevos elementos <script> o usan eval(), Function() o document.write() para ejecutar nuevo código en tiempo de ejecución. Así es como el malware de segunda etapa se carga en ataques a la cadena de suministro: el primer script es limpio y busca y ejecuta el payload real de forma dinámica.

5. Solicitudes de sub-recursos y dependencias de cuarta parte

Scripts que cargan recursos externos adicionales, creando una cadena desde tu tercero aprobado hasta un dominio de cuarta parte no aprobado. El ataque de Polyfill[.]io usó este patrón: el script CDN comprometido cargó código controlado por el atacante desde un dominio separado.

6. Desviaciones de la línea base de comportamiento

La señal más accionable no es un único evento sino una desviación del comportamiento establecido. Un script que ha ejecutado en tu página de pago durante seis meses y nunca ha accedido a campos de formulario, que de repente comienza a leer valores de entrada de tarjeta en una sesión de cada mil: ese es el evento de detección.

Respuesta a incidentes para ataques de scripts del navegador

La respuesta efectiva a incidentes para el compromiso de un script en la capa del navegador sigue un flujo de trabajo distinto al de los incidentes del lado del servidor. El cronograma es comprimido porque los datos pueden ser exfiltrados en milisegundos y la superficie de ataque es cada sesión de usuario que ejecuta el script comprometido.

Detectar

La detección se basa en alertas de anomalías de comportamiento, no en coincidencia de firmas. La detección basada en firmas falla contra payloads polimórficos y ofuscados descritos en detalle aquí. El desencadenante para un incidente en la capa del navegador debe ser: un script conocido accediendo a tipos de datos que nunca había accedido anteriormente, o un script haciendo solicitudes de red a un destino fuera de su perfil de comportamiento establecido.

Una alerta en tiempo real, no un lote SIEM del día siguiente, es el estándar mínimo. Para cuando una revisión de registros diaria detecta un script Magecart, decenas de miles de sesiones pueden haber sido expuestas.

Contener

La contención en la capa del navegador ocurre de manera diferente a la contención en el endpoint. Las opciones incluyen:

  • Bloquear la solicitud de red específica: evitar que la llamada de exfiltración se complete interceptando la solicitud saliente que hace el script malicioso.
  • Bloquear el propio script: evitar que el script comprometido se cargue en cargas de página posteriores, reduciendo inmediatamente la superficie de ataque.
  • Alertar sin bloquear: usar para detecciones de menor confianza donde el riesgo de falsos positivos es alto. Registra el evento y alerta al equipo sin impacto visible para el usuario.

La capacidad de bloquear sin un despliegue de código, directamente desde una plataforma de monitoreo sin tocar el código fuente del sitio, es crítica para la velocidad de contención. Los despliegues de código toman horas; el bloqueo en la capa del navegador puede ser casi instantáneo.

Investigar

El paso de investigación requiere un registro de lo que ocurrió en las sesiones afectadas. Sin un registro de actividad del navegador, este paso es casi imposible. Con uno, la investigación puede responder:

  • ¿Qué sesiones ejecutaron la versión comprometida del script?
  • Durante esas sesiones, ¿a qué campos de datos accedió el script?
  • ¿A dónde se enviaron las solicitudes de red?
  • ¿Se completó la exfiltración (respondió el destino) o fue interrumpida?

Este registro es también el expediente probatorio para las decisiones de notificación de brechas bajo el Artículo 33 del RGPD (umbral de notificación de 72 horas) y los requisitos de PCI DSS. Sin él, la suposición predeterminada bajo la mayoría de los marcos es que todas las sesiones expuestas fueron comprometidas.

Remediar

La remediación para el compromiso de un script del navegador incluye: eliminar o revertir la versión comprometida del script, confirmar que el endpoint de exfiltración del atacante está bloqueado a nivel de red, evaluar qué sesiones de usuario requieren notificación y actualizar la línea base de comportamiento del script para que la próxima desviación se detecte más rápido.

La revisión post-incidente debe evaluar si la ventana de detección a contención cumplió un umbral aceptable. Para los scripts de páginas de pago bajo los requisitos de PCI DSS 6.4.3 y 11.6.1, la expectativa es la detección de modificaciones no autorizadas de scripts en tiempo real, no horas o días después.

Cómo evaluar plataformas para el registro de actividad de scripts del navegador

No todas las herramientas de monitoreo que afirman tener visibilidad en la capa del navegador realmente instrumentan el entorno de ejecución del navegador. Preguntas a hacer durante la evaluación de un producto:

Área de evaluaciónQué buscarSeñal de alerta
Método de registroAgente o SDK que se ejecuta en el navegador y observa la ejecuciónRastreador que simula sesiones externamente
CoberturaTodas las sesiones, no un subconjunto muestreadoEl muestreo significa que la mayoría de los ataques no se registran
Aprendizaje de línea basePerfilado de comportamiento automático por script por páginaRequiere configuración manual de umbrales
Capacidad de bloqueoPuede bloquear solicitudes de red de scripts sin un despliegue de códigoSolo detección sin ruta de aplicación
Retención de registrosRegistros indexados a nivel de sesión disponibles para investigaciónSolo métricas agregadas, sin repetición de sesión
Evidencia de cumplimientoRegistros exportables mapeados a PCI DSS 6.4.3/11.6.1 y RGPD Artículo 32Sin salida de cumplimiento estructurada

La distinción clave es el método de instrumentación. Un escáner externo visita tu página desde un navegador sin cabeza y registra lo que observa durante esa sesión artificial. Un atacante que solo se activa contra usuarios reales, una técnica de evasión común, es invisible para un escáner. La instrumentación en tiempo de ejecución que se ejecuta en cada sesión de usuario real captura lo que los escáneres no ven.

Dónde encaja cside

cside es el registro de actividad de scripts nativo del navegador y la aplicación construida específicamente para el riesgo de JavaScript de terceros. Instrumenta la capa de ejecución del navegador en cada sesión de usuario real y registra las seis categorías descritas anteriormente: acceso al DOM, solicitudes de red, lecturas de cookies y almacenamiento, inyección dinámica de scripts, cadenas de sub-recursos y desviaciones de comportamiento de las líneas base establecidas.

Cuando se detecta una anomalía, cside puede bloquear las solicitudes de red del script o el propio script sin requerir un despliegue de código. El registro de actividad que produce está estructurado tanto para la investigación de incidentes como para la evidencia de cumplimiento bajo PCI DSS 6.4.3, 11.6.1 y RGPD Artículo 32.

Para los equipos que actualmente dependen de la cobertura de SIEM, EDR y WAF y asumen que esas tres capas cubren toda la superficie de ataque: no cubren el entorno de ejecución del navegador. Esa es la capa donde operan Magecart, el formjacking y el skimming digital, los compromisos de cadena de suministro y los scripts de secuestro de sesión, y es la capa donde el registro de actividad de scripts y la respuesta a incidentes tiene la mayor brecha en la mayoría de las pilas empresariales.

Más lecturas

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

El registro de actividad de scripts en la capa del navegador es la grabación en tiempo real de lo que JavaScript ejecuta dentro del navegador del usuario: cada lectura del DOM, acceso a campos de formulario, solicitud de red, escritura de cookies e inyección dinámica de scripts realizada por código propio y de terceros durante una sesión activa. Captura la capa de ejecución que las herramientas SIEM, EDR y WAF no pueden alcanzar porque operan a nivel de red o endpoint, no dentro del entorno de ejecución del navegador.

Las plataformas SIEM agregan registros de servidores y dispositivos de red. Las herramientas EDR instrumentan el sistema operativo. Los WAF inspeccionan el tráfico HTTP en tránsito. Ninguna observa el entorno de ejecución de JavaScript en el navegador del usuario. Un script de terceros que lee campos de formulario y envía datos al servidor de un atacante a través de HTTPS parece tráfico saliente normal para un WAF, un proceso autorizado para un EDR y una entrada ausente en el SIEM. La brecha de registro existe en la capa de ejecución del navegador.

La respuesta efectiva a incidentes para el compromiso de un script del navegador sigue cuatro pasos: detectar la anomalía de comportamiento en tiempo real (un script que lee campos de pago que nunca había tocado antes), contener bloqueando las solicitudes de red del script o el propio script, investigar usando el registro de actividad para determinar qué sesiones se vieron afectadas y qué datos se accedieron, y remediar eliminando o poniendo en cuarentena el script comprometido y notificando a los usuarios afectados. Sin un registro de actividad del navegador, el paso de investigación colapsa porque no hay registro de lo ocurrido.

cside proporciona registro de actividad de scripts nativo del navegador diseñado específicamente para el riesgo de JavaScript de terceros. Registra lo que cada script hace en tiempo de ejecución, identifica desviaciones de comportamiento respecto a las líneas base establecidas y puede bloquear scripts cuando se detecta comportamiento anómalo. A diferencia de los conectores SIEM que extraen registros del servidor, cside instrumenta la capa de ejecución del navegador directamente, capturando señales como inyección dinámica de scripts, exfiltración de cookies y lecturas de campos de formulario que solo existen dentro del entorno de ejecución del navegador.

Sin una herramienta de monitoreo en la capa del navegador, generalmente no puedes saberlo hasta que una brecha sea reportada externamente. Con el registro de actividad de scripts en la capa del navegador, puedes observar en tiempo real qué scripts acceden a qué campos de formulario o cookies, a qué destinos de red se comunica cada script y si algún script realiza solicitudes a destinos fuera de su perfil de comportamiento establecido. Las lecturas inusuales de campos de formulario combinadas con nuevas solicitudes de red salientes son la firma de comportamiento principal de un script de exfiltración de datos.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo