Blog Attacks

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

May 18, 2026 • 8 min read

Simon Wijckmans Founder & CEO

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Respuesta rápida: OFAC sancionó a Funnull Technology Inc. el 2025-05-29, junto con el administrador Liu Lizhi. Esa acción cambia la lectura del incidente de Polyfill[.]io. No fue solo una campaña de redirecciones contra sitios que seguían cargando una utilidad antigua de JavaScript. Fue un fallo de cadena de suministro en el navegador conectado con una operación mayor de blanqueo de infraestructura.

La lección para los equipos de seguridad es directa: los scripts de terceros no pueden tratarse como fiables para siempre porque alguna vez lo fueron. Cambian los dueños, cambian las rutas de CDN y cambian los payloads secundarios.

TL;DR

OFAC sancionó a Funnull Technology Inc. y al administrador Liu Lizhi el 2025-05-29
Treasury vinculó a Funnull con más de 200 millones de dólares en pérdidas reportadas por víctimas en EE. UU.
El FBI identificó 548 CNAMEs de Funnull vinculados a más de 332.000 dominios únicos
Treasury afirmó que Funnull compró y alteró en 2024 un repositorio de código usado por desarrolladores web
Las defensas del lado del navegador necesitan comprobar el comportamiento runtime de los scripts, no solo confiar en proveedores

Qué cambió: Funnull ahora es un proveedor de infraestructura sancionado

El Departamento del Tesoro de EE. UU. sancionó a Funnull como empresa con sede en Filipinas que proporcionaba infraestructura informática a cientos de miles de sitios implicados en estafas de inversión con moneda virtual. Treasury describió esas estafas como pig butchering y dijo que Funnull facilitó directamente esquemas asociados a más de 200 millones de dólares en pérdidas reportadas por víctimas en EE. UU.

Captura del comunicado de Treasury que anuncia sanciones contra Funnull Technology Inc.

La misma acción sancionó a Liu Lizhi, descrito por Treasury como administrador de Funnull. Treasury dijo que Liu participaba en documentos operativos y tareas que incluían asignar dominios a ciberdelincuentes para fraude de inversión, phishing y sitios de apuestas online.

La escala importa. El aviso del FBI publicado el mismo día dijo que los investigadores habían identificado 548 CNAMEs únicos de Funnull vinculados a más de 332.000 dominios únicos desde enero de 2025. No es un solo dominio malo. Es una capa de infraestructura.

Cómo Polyfill[.]io encaja en el patrón de Funnull

En 2024, Polyfill[.]io ya era una advertencia clara sobre la cadena de suministro del navegador. Un servicio JavaScript ampliamente incrustado cambió de manos y después sirvió redirecciones maliciosas a un porcentaje de usuarios según condiciones runtime. cside cubrió el incidente en The Polyfill[.]io attack explained y después explicó por qué fue más que un ataque de redirección.

La acción de Treasury contra Funnull hace la conexión más clara. Treasury dijo que en 2024 Funnull compró un repositorio de código usado por desarrolladores web y alteró maliciosamente el código para redirigir visitantes de sitios legítimos hacia sitios de estafa y apuestas online.

Diagrama que muestra CDNs propiedad de Funnull enviando JavaScript desde sitios web por servidores de redirección hacia sitios de apuestas y pig butchering

El 2026-05-18, PublicWWW todavía listaba 61.593 páginas web que contenían "polyfill.io", aunque Namecheap había tomado medidas contra el dominio malicioso después del ataque de cadena de suministro de 2024. Ese residuo es el problema operativo: las dependencias del navegador pueden seguir incrustadas mucho después de que un dominio haya sido suspendido, bloqueado o identificado públicamente como inseguro.

Ese es el patrón operativo que los equipos de seguridad deben reconocer. Un script puede ser inocuo cuando se aprueba, arriesgado cuando cambia de dueño y malicioso cuando cambia la ruta del código. El propietario del sitio puede no cambiar ni una línea. El navegador del usuario seguirá ejecutando el nuevo payload.

panel de privacidad de cside que muestra visibilidad sobre scripts de terceros

Qué significa el blanqueo de infraestructura para los equipos de seguridad

El blanqueo de infraestructura consiste en usar infraestructura creíble para ocultar o legitimar actividad maliciosa. En lugar de alojar cada sitio de estafa en servidores obvios de baja reputación, un operador puede enrutar tráfico a través de proveedores cloud, CDNs, cadenas DNS y marcas fachada que parecen normales desde lejos.

Para la seguridad del navegador, lo importante no es la etiqueta. Es la brecha de control. Un sitio puede confiar en una URL de CDN porque funcionaba ayer. Una revisión de proveedor puede aprobar un dominio porque el proveedor era legítimo en ese momento. Un tag manager puede mostrar el mismo script principal mientras ese script carga un recurso secundario distinto en runtime.

Por eso falla la confianza basada solo en origen. El navegador no ejecuta un cuestionario de proveedor. Ejecuta JavaScript.

Control	Qué ayuda a resolver	Dónde se queda corto
Inventario de scripts	Muestra qué scripts deberían estar presentes	Pierde comportamiento runtime y cambios rápidos del proveedor
Revisión de proveedor	Captura propiedad, propósito y aprobación	Se queda obsoleta tras adquisiciones, rebrands y cambios de subprocesadores
Subresource Integrity	Bloquea archivos estáticos modificados cuando hay hashes fijados	Falla con scripts dinámicos y no cubre sub-scripts runtime
Content Security Policy	Limita desde dónde pueden cargar scripts y recursos	Requiere allowlists precisas y no ve todo el comportamiento dentro de dominios permitidos
Monitorización runtime	Observa qué scripts cargan, cambian y hacen realmente	Necesita instrumentación en la capa del navegador y revisión operativa

Por qué las sanciones no terminan el riesgo del lado del navegador

Las sanciones pueden interrumpir una empresa nombrada, congelar activos bajo jurisdicción estadounidense y hacer que operar con la parte sancionada sea legalmente arriesgado para personas estadounidenses. No eliminan automáticamente cada dominio, script, ruta CDN o empresa fachada relacionada de internet.

El riesgo posterior a las sanciones ya aparece en la investigación de amenazas. Silent Push informó que la infraestructura asociada al ecosistema más amplio de Triad Nexus y Funnull siguió evolucionando después de las sanciones de 2025, con bloqueo geográfico, rotación de CNAMEs y empresas fachada con aspecto limpio.

La acción posterior de Treasury y Reino Unido contra redes ciberdelictivas del Sudeste Asiático también muestra el contexto de aplicación más amplio. OFAC sancionó 146 objetivos dentro de Prince Group Transnational Criminal Organization, mientras FinCEN finalizó una norma para separar a Huione Group del sistema financiero estadounidense. Son redes grandes y adaptativas.

Captura del comunicado de Treasury sobre la acción de EE. UU. y Reino Unido contra redes ciberdelictivas del Sudeste Asiático

Qué hacer esta semana

Empieza por los scripts que pueden tocar login, checkout, creación de cuenta, pago y flujos con datos personales.

Busca polyfill[.]io, bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org y unionadjs[.]com en código fuente, tag managers, plantillas CMS y snippets antiguos
Elimina scripts de compatibilidad muertos que los navegadores modernos ya no necesitan
Asocia cada script de terceros con dueño, propósito, alcance de página y nivel de acceso a datos
Identifica scripts que cargan scripts adicionales, construyen URLs dinámicamente o ejecutan código distinto por user agent, geografía, referrer o estado de sesión
Usa SRI solo cuando el script sea estático y el proveedor soporte hashes estables
Refuerza CSP en flujos sensibles y monitoriza violaciones antes de pasar de report-only a enforcement
Añade monitorización runtime para ver cambios de scripts, redirecciones, acceso a datos y llamadas de red inesperadas cuando los usuarios cargan la página

Esto no es solo una limpieza de Polyfill. Es gobierno de scripts de terceros.

Cómo cside ayuda a monitorizar el riesgo de scripts de terceros

cside trabaja en la capa del navegador, donde los scripts de terceros realmente se ejecutan. Eso importa porque los logs del servidor, las revisiones de proveedor y los inventarios estáticos pierden comportamiento runtime importante.

Con cside, los equipos pueden ver qué scripts cargan en páginas reales, a qué llaman, cómo cambian y si intentan comportamientos sospechosos como redirecciones inesperadas o acceso a datos. Esa visibilidad ayuda a los equipos de seguridad y cumplimiento a pasar de "aprobamos este proveedor una vez" a "sabemos qué hace este código ahora".

Las sanciones contra Funnull son un buen punto de presión. Muestran que el riesgo de cadena de suministro client-side no es teórico y no se limita a dominios obviamente maliciosos.

A fecha de 2026-05-18, las designaciones de sanciones, los indicadores de infraestructura y las fachadas activas pueden cambiar. Trata los dominios y CNAMEs nombrados como pistas de investigación, no como una blocklist completa.

Lecturas relacionadas

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

OFAC sancionó a Funnull Technology Inc. el 2025-05-29 por proporcionar infraestructura a sitios implicados en estafas de inversión con moneda virtual, conocidas como pig butchering. Treasury también sancionó al administrador de Funnull, Liu Lizhi.

Sí. Treasury afirmó que Funnull compró en 2024 un repositorio de código usado por desarrolladores web y lo alteró maliciosamente para redirigir visitantes de sitios legítimos a sitios de estafa y apuestas online. Eso coincide con el incidente de cadena de suministro de Polyfill[.]io que cside investigó en 2024.

El blanqueo de infraestructura consiste en usar hosting, cloud, CDN o DNS creíbles para que sitios maliciosos parezcan legítimos y sean más difíciles de retirar. Puede incluir compra masiva de IPs, rotación de CNAMEs, abuso de cuentas y marcas fachada con aspecto limpio.

Eliminar Polyfill[.]io resuelve una dependencia expuesta. No resuelve el riesgo más amplio de que un script de terceros, CDN o dominio de proveedor cambie de dueño, cargue nuevo código o redirija usuarios después de haber sido aprobado.

Los equipos deben mantener un inventario de scripts, verificar la integridad cuando los archivos estáticos lo permitan, aplicar CSP cuando sea práctico y monitorizar el comportamiento runtime de los scripts en el navegador. La clave es detectar qué cargan y qué hacen realmente los scripts para usuarios reales.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.

Insignia SourceForge Spring 2026 Top Performer junto a un gráfico de dashboard de cside

cside nombrado SourceForge Spring 2026 Top Performer en seguridad del lado del cliente

cside fue nombrado SourceForge Spring 2026 Top Performer, señal de confianza de usuarios en seguridad del lado del cliente y PCI.

Portada oscura de cside con puntos sobre detección de tráfico de agentes de IA

Cómo detectar agentes de IA en tu sitio web | Guía completa

Esta guía cubre la detección de agentes de IA a través de señales de identidad, red, navegador y comportamiento. Incluye métodos gratuitos como el análisis de logs del servidor y herramientas especializadas.

Globo de red azul e iconos de seguridad del navegador sobre una portada oscura de cside

cside copreside la seguridad antifraude del navegador en W3C

Simon Wijckmans ahora copreside el AFCG del W3C mientras cside ayuda a definir señales privadas contra el fraude con IA.

Portada oscura de cside con puntos sobre Mastercard First-Party Trust

¿Qué es Mastercard First-Party Trust? Cómo reduce los contracargos

Mastercard First-Party Trust desvía disputas de fraude amistoso antes de que se conviertan en contracargos formales. Así funciona el marco de evidencia.

Portada oscura de cside con puntos sobre señales de device fingerprinting

Mastercard First Party Trust: mejore sus ratios EFM y ECP con device fingerprinting

El programa First Party Trust de Mastercard utiliza device fingerprinting para desviar disputas de fraude amistoso antes de que inflen sus ratios EFM y ECP.