Blog

Blog Attacks

Resumen de ataques del lado del cliente – Q1 2025

La investigación de cside descubrió casi 300.000 sitios web comprometidos en el primer trimestre de 2025.

Apr 30, 2025 • 11 min read

Simon Wijckmans Founder & CEO

Elaborado por: Equipo de Investigación de Amenazas de cside

Resumen ejecutivo

El Q1 de 2025 estuvo marcado por una escalada pronunciada en los ataques del lado del cliente dirigidos a sitios web de múltiples sectores, con especial foco en plataformas basadas en WordPress. La investigación de cside descubrió casi 300.000 sitios web comprometidos, lo que pone de manifiesto la creciente dependencia de los atacantes en mecanismos de distribución basados en JavaScript, vulnerabilidades en la cadena de suministro de terceros y tácticas de ingeniería social engañosas como las falsas actualizaciones de navegador.

Para CISOs, responsables de riesgo digital y partes interesadas en seguridad, este informe detalla las campañas más críticas detectadas este trimestre, presentando tanto detalles técnicos como perspectivas estratégicas para apoyar la toma de decisiones proactiva.

Perspectiva clave para directivos: Las ciberamenazas modernas explotan las interacciones basadas en el navegador y la confianza de los usuarios en las plataformas CMS más comunes. Defenderse de ellas requiere visibilidad sobre los comportamientos en tiempo de ejecución, una gobernanza rigurosa de scripts e inteligencia de amenazas coordinada. Además, los ataques del lado del cliente dirigidos a plataformas de criptomonedas y entornos de pago conllevan riesgos desproporcionados, a pesar de representar un volumen menor del total de incidentes.

Principales campañas del lado del cliente

1. Secuestros de página completa con redirección a sitios de apuestas chinos

Detectado: enero de 2025
Sitios web afectados: más de 150.000
Causa raíz: JavaScript inyectado a través de un plugin secuestrado o un CDN de activos.
Infraestructura del ataque: Dominios como zuizhongyj[.]com y sus subdominios fueron responsables de inyectar iframes que tomaban el control de toda la ventana gráfica.
Características destacadas: Redirección condicional según región y navegador
Ofuscación de scripts y URLs construidas dinámicamente
Alto enfoque en móvil con clics dirigidos a Android

Riesgo estratégico: Pérdida significativa de confianza y penalizaciones SEO; varios sitios fueron incluidos en listas negras por Google.

https://cside.com/blog/over-150k-websites-hit-by-full-page-hijack-linking-to-chinese-gambling-sites

2. Compromiso en la cadena de suministro de JavaScript (4 puertas traseras embebidas)

Detectado: enero de 2025
Sitios web afectados: más de 5.000
Origen del payload: cdn.csyndication[.]com (anteriormente un proveedor de alojamiento de activos de confianza).
Acciones maliciosas embebidas: Instalación de plugins para acceso persistente
Infección de wp-config.php
Inyección de claves SSH mediante tareas programadas
Comunicación de shell inverso con gsocket[.]io

Objetivos del atacante: Mantener el control a largo plazo, recopilar credenciales y moverse lateralmente en entornos de alojamiento compartido.

https://cside.com/blog/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack

3. Estafa de apuestas chinas Kaiyun – Campaña variante

Detectado: febrero de 2025
Sitios web afectados: más de 35.000
Tácticas: Imitación de anuncios de juegos legítimos mediante superposiciones a pantalla completa y uso de variantes de idioma con segmentación geográfica.
Observaciones clave: Reutilización de dominios: mlbetjs[.]com, zuizhongjs[.]com
Perfilado de IP y navegador para evadir la detección

Resultado: Confusión de marca y desvío de conversiones en los sitios comerciales afectados.

https://cside.com/blog/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam

4. Campaña de falsas actualizaciones de navegador con malware multiplataforma

Detectado: marzo de 2025
Sitios web afectados: más de 10.000
Mecanismo: JavaScript cargado mediante iframe que mostraba un modal de actualización falsa para Chrome/Firefox.
Payloads distribuidos: AMOS Stealer (macOS): capturaba iCloud Keychain, navegadores y archivos
SocGholish (Windows): usaba WMI y PowerShell para persistencia

Riesgo de cumplimiento: Los sitios utilizados para la distribución pueden enfrentar exposición regulatoria (GDPR, CCPA).

https://cside.com/blog/10-000-wordpress-websites-found-delivering-macos-and-microsoft-malware

5. Envenenamiento SEO de ScriptAPI en sitios académicos y gubernamentales

Detectado: enero de 2025
Sitios web afectados: ~1.000
Perfil del objetivo: Dominios .edu y .gov que utilizaban paquetes JS desactualizados
Comportamiento del ataque: Inyecciones DOM ocultas para construcción de enlaces SEO; redirecciones camufladas hacia contenido de apuestas y adultos
Impacto en el negocio: Penalización algorítmica en los SERPs
Abuso de la autoridad académica/gubernamental para envenenamiento de backlinks

https://cside.com/blog/government-and-university-websites-targeted-in-scriptapi-dev-client-side-attack

6. Campaña WP3.XYZ – Creación automatizada de puertas traseras en WordPress

Detectado: enero de 2025
Sitios web afectados: más de 5.000
Vector inicial: Script JS de wp3[.]xyz incluido en temas/plugins comprometidos
Hallazgos clave: Creación silenciosa de la cuenta wpx_admin
Despliegue de plugins para modificar los flujos de inicio de sesión
Exfiltración de credenciales y tokens

Remediación: Requiere rotación de credenciales de administrador, limpieza de malware y verificación de plugins

https://cside.com/blog/over-5k-wordpress-sites-caught-in-wp3xyz-malware-attack

Recomendaciones estratégicas para directivos y CISOs

Gobernanza del riesgo del lado del cliente: Exigir revisiones previas al despliegue y monitorización posterior al despliegue de todos los activos JavaScript de terceros.
Capacidades de detección en tiempo de ejecución: Invertir en monitorización basada en comportamiento de páginas web para detectar amenazas como el uso de iframes, el robo de credenciales o las cadenas de redirección.
El CMS web como objetivo de alto valor: WordPress, a pesar de su amplio uso, requiere una atención de nivel empresarial con parcheo automatizado y verificación de plugins.
Zero Trust para la entrega de contenido: Aplicar los principios de Zero Trust a los scripts JS. Asumir el compromiso y registrar cada interacción.
Playbooks de respuesta y simulaciones: Crear ejercicios de simulación para ataques a la cadena de suministro, inyección del lado del cliente y compromiso de credenciales basados en escenarios reales.

Resumen de métricas clave

Métrica	Resultado Q1 2025
Total de sitios web comprometidos	Casi 300.000
Nuevas técnicas de ataque del lado del cliente observadas	5 (secuestro de iframe, envenenamiento SEO, malware multiplataforma, etc.)
Compromisos importantes en la cadena de suministro	2
CMS predominante atacado	WordPress
Sectores más afectados	Comercio electrónico, Medios de comunicación, Gobierno, Academia
Exposición regulatoria	Riesgos de incumplimiento del GDPR y la CCPA
Riesgos de cumplimiento destacados	PCI-DSS, GDPR, CCPA
Ataques al sector cripto	Bajo volumen, alto impacto financiero

Número de sitios web afectados por tipo de ataque

Tendencias estratégicas observadas en el Q1 de 2025

Durante el Q1 de 2025, surgieron varios patrones estratégicos relevantes en la actividad de ataques del lado del cliente:

1. Auge de las amenazas multiplataforma

Los ataques ya no se dirigen únicamente a usuarios de Windows. Las campañas de malware (p. ej., AMOS Stealer) se expandieron de forma agresiva hacia los ecosistemas macOS, lo que señala una evolución hacia la segmentación multiplataforma.

2. Abuso de cadenas de suministro de confianza

El compromiso de cdn.csyndication[.]com demuestra que los atacantes apuntan cada vez más a proveedores externos de reputada confianza para maximizar el impacto a escala.
Los ataques a la cadena de suministro se extienden ahora más allá del software hacia las infraestructuras de entrega de activos (JavaScript/CDNs).

3. Mayor sofisticación en las técnicas de evasión

Uso generalizado de:Geofencing por IP
Fingerprinting de navegador
Priorización móvil para evadir detecciones automatizadas y aumentar la precisión en la segmentación de usuarios.

4. Proliferación del envenenamiento SEO

Los ataques abusan cada vez más de dominios de alta autoridad (p. ej., .edu, .gov) para el envenenamiento en motores de búsqueda, con el objetivo de obtener monetización indirecta en lugar de explotación directa.

5. WordPress sigue siendo la superficie de ataque número 1

A pesar de años de concienciación, los plugins y temas de WordPress sin parchear continúan siendo el principal punto de entrada para compromisos a gran escala.

Impacto en el cumplimiento normativo

Los compromisos del lado del cliente, especialmente los que distribuyen malware o hacen un uso indebido de información personal, generan graves riesgos de cumplimiento.

1. Reglamento General de Protección de Datos (GDPR)

Las redirecciones con malware o los sitios web comprometidos pueden interpretarse como un incumplimiento de las obligaciones de seguridad de los datos en virtud del artículo 32 del GDPR.
Multas potenciales de hasta 20 millones de euros o el 4 % de la facturación global anual, la cifra que sea mayor.

2. Riesgo PCI-DSS: compromisos de pago del lado del cliente

Los ataques de skimming del lado del cliente como Magecart y el formjacking generan violaciones directas de los requisitos de PCI-DSS v4.0. Las organizaciones que procesan datos de titulares de tarjetas deben proteger los scripts del lado del cliente para evitar la interceptación no autorizada. Una brecha en este entorno podría dar lugar a:

Divulgación obligatoria según las directrices PCI
Multas elevadas
Daños a la marca y pérdida de confianza entre los clientes

Dada la prevalencia de los ataques basados en JavaScript, proteger el entorno del lado del navegador es ahora imprescindible para el cumplimiento de PCI.

3. Ley de Privacidad del Consumidor de California (CCPA)

Los sitios web que sirven malware o phishing de forma involuntaria pueden enfrentarse a demandas por derecho de acción privada y sanciones regulatorias en virtud de la CCPA.

4. Reputación de marca y exposición legal

Las organizaciones que no protegen sus activos del lado del cliente se arriesgan a:Demandas de clientes
Pérdida de reputación
Exclusión de plataformas publicitarias y motores de búsqueda (Google, Microsoft)

Previsión de riesgos para el Q2 de 2025

Basándose en las tendencias de ataque observadas en el Q1, cside prevé los siguientes desarrollos para el Q2:

Tendencia prevista	Probabilidad	Descripción
Auge del phishing del lado del cliente potenciado por IA	Alta	Es probable que los atacantes usen IA para crear modales de actualización falsos y páginas de inicio de sesión falsas de forma dinámica.
Expansión hacia cadenas de suministro de aplicaciones móviles	Media	Ataques similares a la cadena de suministro podrían comenzar a dirigirse a SDKs de aplicaciones y bibliotecas orientadas a móvil.
Crecimiento de campañas de envenenamiento SEO	Alta	Se espera que continúe el abuso de sitios académicos y gubernamentales para la manipulación SEO.
Ataques a CDN y cadena de suministro de plugins	Alta	Los atacantes seguirán comprometiendo hosts de activos populares y plugins de WordPress.
Aparición de ataques de criptominería mediante JavaScript	Media	Esta tendencia latente podría resurgir en el Q2 apuntando a sesiones de navegador sin monitorizar.
Campañas dirigidas de vaciado de carteras cripto	Media	Los atacantes priorizarán objetivos cripto de alto valor a pesar del bajo volumen general. Las pérdidas por incidente podrían ser catastróficas.

Recomendaciones estratégicas para directivos y CISOs

Las organizaciones deben evolucionar desde las defensas perimetrales tradicionales hacia la monitorización de seguridad del navegador en tiempo real. A continuación se presentan las recomendaciones prácticas de cside:

1. Gobernanza del riesgo del lado del cliente

Establecer políticas formales para la revisión previa al despliegue y la monitorización continua de todos los activos JavaScript de terceros.
Mantener un inventario de scripts aprobados con control de versiones y verificaciones de integridad.

2. Capacidades de detección en tiempo de ejecución

Implementar monitorización basada en comportamiento de la actividad del sitio web en tiempo real:Detectar inyecciones de iframe
Monitorizar eventos de manipulación del DOM
Marcar conexiones salientes no autorizadas

Las soluciones deben alertar sobre comportamientos sospechosos antes de que los usuarios se vean afectados.

3. Zero Trust para contenido de terceros

Tratar todo el contenido externo como no confiable por defecto:Aplicar cabeceras CSP (Content Security Policy) para restringir la carga de activos no aprobados.
Usar Subresource Integrity (SRI) para verificar la integridad de los scripts.

4. Mejora de la postura de seguridad en WordPress

Exigir el parcheo automatizado de todos los plugins y las actualizaciones del núcleo de WordPress.
Obligar al uso exclusivo de plugins y temas verificados y de alta calidad.
Monitorizar la creación de cuentas de administrador en busca de anomalías.

5. Preparar y probar los playbooks de respuesta a incidentes

Realizar ejercicios de simulación periódicos centrados en:Compromiso de scripts del lado del cliente
Escenarios de brecha en la cadena de suministro
Limpieza tras envenenamiento SEO

Incluir flujos de comunicación para la divulgación rápida a los reguladores cuando sea necesario (GDPR, CCPA).

Reflexión final

El panorama de amenazas de principios de 2025 refleja un cambio de paradigma: los atacantes ya no necesitan vulnerar la infraestructura. Solo necesitan comprometer un script. El front-end es el nuevo campo de batalla. Las organizaciones deben ir más allá de las defensas del lado del servidor y adoptar estrategias de seguridad del lado del cliente proactivas y en tiempo real. Los defensores deben reconocer que incluso las amenazas de baja frecuencia, como el compromiso de activos cripto y el skimming de tarjetas, tienen el potencial de generar un impacto desproporcionado. Las estrategias de defensa deben priorizar tanto los escenarios de ataque basados en volumen como los de alto valor y baja frecuencia.

cside continúa monitorizando y publicando amenazas emergentes para empoderar a los defensores y proteger la confianza digital.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.