Skip to main content
Blog
Blog Attacks

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Jun 20, 2026 14 min read
Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

La respuesta más común que escucho de los DPO cuando surge el tema de los píxeles no autorizados es: "tenemos una CMP, así que estamos cubiertos." En la práctica, una plataforma de gestión del consentimiento solo cubre las herramientas que se le han declarado. Cuando desplegamos cside en un operador con licencia, encontramos rutinariamente disparos de píxeles que la CMP no tiene registrados, a menudo porque llegaron a través de un script de afiliado o una configuración de contenedor GTM que es anterior al stack de cumplimiento actual. El DPO suele descubrir que esto está ocurriendo cuando le mostramos un rastreo de sesión en directo, no antes.

Los operadores de juego con licencia no pueden anunciarse en Facebook, TikTok, Instagram o LinkedIn. Las políticas publicitarias de las cuatro plataformas prohíben las promociones de juego sin la aprobación explícita de la plataforma, y esa aprobación rara vez se concede. Lo que la mayoría de los operadores no han modelado completamente es qué sucede cuando aparece en su sitio un píxel de una de estas plataformas sin su conocimiento. Ocurre con más frecuencia de lo que los equipos de cumplimiento se dan cuenta: en el primer trimestre de 2025, cside detectó más de 300.000 señales de ataque en sitios de juego y comercio electrónico monitorizados (cada una representando un comportamiento anómalo distinto observado en una sesión real de jugador), siendo los disparos de píxeles no autorizados uno de los hallazgos más comunes. Cuando ocurre, el operador se enfrenta a dos problemas simultáneos que se agravan mutuamente de maneras que son difíciles de resolver rápidamente.

Cómo llegan los píxeles no autorizados a los sitios de juego sin el conocimiento del operador

Respuesta rápida: Los píxeles de seguimiento no autorizados llegan a las plataformas de juego a través de cuatro vectores principales: scripts de afiliados comprometidos que inyectan código sin el conocimiento del operador, shadow Google Tag Manager containers configurados por equipos de marketing sin revisión de seguridad, plataformas de gestión del consentimiento mal configuradas que cargan etiquetas fuera de su alcance previsto, y compromisos de la cadena de suministro que afectan a bibliotecas JavaScript upstream utilizadas en miles de sitios simultáneamente.

La suposición que hace la mayoría de los operadores es que los píxeles son algo que instalan deliberadamente. En la práctica, el escenario más común es que un píxel llega a través de una ruta indirecta y no se detecta porque el operador no tiene visibilidad en runtime de lo que se ejecuta en los browsers de los jugadores.

Los cuatro vectores principales son:

  • Scripts de afiliados: los socios afiliados reciben código de seguimiento que los operadores cargan en sus sitios. Cuando el script de un afiliado se compromete o un afiliado inyecta deliberadamente píxeles adicionales, la plataforma del operador lleva el píxel sin haberlo instalado
  • Shadow GTM containers: los equipos de marketing frecuentemente crean contenedores adicionales de Google Tag Manager o añaden etiquetas a los existentes sin pasar por una revisión de seguridad. Un píxel instalado por un contratista hace seis meses puede seguir disparándose en producción
  • Mala configuración de la gestión del consentimiento: las CMP gestionan el consentimiento para herramientas que están declaradas dentro del flujo de consentimiento. Las etiquetas que se añaden a un contenedor GTM después de que se configuró la CMP, o que se cargan completamente fuera de la capa de consentimiento, no están cubiertas por el mecanismo de consentimiento
  • Compromiso de la cadena de suministro: el ataque a la cadena de suministro de Polyfill.js en junio de 2024 afectó a más de 100.000 sitios simultáneamente a través de una única toma de control de biblioteca. Un ataque similar dirigido a una biblioteca de análisis o de afiliados ampliamente utilizada podría inyectar píxeles en todo un sector sin que ningún operador tomara una acción deliberada

El factor común en los cuatro vectores es que el píxel se dispara sin que el operador lo sepa. Los datos de los jugadores se envían a Facebook, TikTok o LinkedIn. El operador es responsable.

La responsabilidad del GDPR: qué significan los Artículos 5, 28 y 33 para los disparos de píxeles

Respuesta rápida: Según el Artículo 5 del GDPR, los datos de los jugadores deben procesarse de forma lícita, leal y con una base jurídica válida. Un píxel no autorizado que transmite datos de jugadores a una plataforma de redes sociales no tiene base jurídica. Según el Artículo 28, el operador es el responsable del tratamiento de datos responsable de ese procesamiento. Según el Artículo 33, si el disparo de píxeles constituye una violación de datos, el operador tiene 72 horas para notificar a la autoridad supervisora, independientemente de si instaló el píxel.

El GDPR no ofrece una defensa de "no lo sabía" para los responsables del tratamiento de datos. El reglamento establece la responsabilidad como principio fundamental: los operadores son responsables de demostrar que todo procesamiento de datos personales en sus plataformas es lícito, documentado y controlado.

Aplicando esto a un escenario de píxel no autorizado:

El Artículo 5 exige que los datos personales se procesen de forma lícita y para fines especificados, explícitos y legítimos. Un píxel que transmite datos de jugadores a Facebook sirve a los fines de optimización publicitaria de Facebook, no a los intereses legítimos del operador como operador de juego con licencia. No existe ninguna base jurídica plausible para esa transferencia. No se puede invocar el consentimiento porque el píxel no está en el flujo de consentimiento. No se puede invocar el interés legítimo porque el operador no sabía que el píxel estaba allí y no puede haber evaluado su proporcionalidad.

El Artículo 28 hace al operador responsable del tratamiento de datos responsable de garantizar que cualquier tercero que procese datos en su plataforma tenga un Acuerdo de Procesamiento de Datos documentado. No existe ningún DPA que cubra un píxel no autorizado. La infracción estructural existe independientemente del daño causado.

El Artículo 33 exige la notificación a la autoridad supervisora en un plazo de 72 horas desde que el operador tenga conocimiento de una violación de datos personales. Si un píxel no autorizado constituye una violación depende de si resultó en la transmisión de datos personales sin autorización, y en la mayoría de los casos la respuesta es sí. La sanción de £20 millones del ICO del Reino Unido contra British Airways proporciona el precedente más claro: se determinó que los scripts de terceros que recopilaban datos de clientes del sitio web de una empresa eran responsabilidad de esa empresa, y el hecho de no detectar ni prevenir la recopilación fue en sí mismo el incumplimiento regulatorio.

La responsabilidad por la política publicitaria: por qué las sanciones de las plataformas agravan el problema

Respuesta rápida: Facebook, TikTok, Instagram y LinkedIn prohíben la publicidad de juego bajo sus políticas de plataforma. Cuando un píxel de cualquiera de estas plataformas se dispara en un sitio de juego, crea un registro de actividad que vincula el dominio de juego con la cuenta de la plataforma. Aunque el operador nunca haya anunciado deliberadamente en estas plataformas, la actividad del píxel puede detectarse y utilizarse como base para suspender las cuentas publicitarias del operador, poner en lista negra su dominio o iniciar una revisión de la política.

Esta es la segunda dimensión, a menudo ignorada, del problema de doble responsabilidad. La aplicación del GDPR es el riesgo del que más se habla. El riesgo de la política publicitaria es más inmediato y puede tener consecuencias comerciales directas.

La mecánica del riesgo es la siguiente. Cuando un píxel se dispara en un sitio de juego, envía un evento a la cuenta publicitaria asociada. Si esa cuenta pertenece al operador de juego, aunque nunca se haya utilizado para publicidad de juego, la plataforma puede detectar la colocación del píxel en un dominio de juego. Esto puede resultar en:

  • Suspensión de la cuenta publicitaria asociada al píxel
  • Lista negra a nivel de dominio que impide el uso futuro de la plataforma por parte del operador o sus afiliados
  • Revisión de la política que afecta a otros productos o cuentas vinculadas a la misma entidad empresarial
  • Uso de la actividad del píxel como evidencia en los procedimientos de aplicación de la política de la plataforma

Si el píxel no pertenece al operador, el perfil de riesgo cambia: el píxel pertenece a un afiliado, a un proveedor comprometido o a un tercero desconocido. En este escenario, la responsabilidad del GDPR del operador es la misma (son responsables de todo el procesamiento en su dominio) pero el riesgo de la política publicitaria puede dirigirse a otro lugar. Sin embargo, el dominio del operador ahora está asociado con actividad de píxeles de una cuenta que no pueden controlar, lo que crea sus propias complicaciones.

El problema que se agrava es que ambas responsabilidades aparecen simultáneamente. Mientras el equipo de cumplimiento gestiona la notificación de violación del GDPR y el compromiso con el ICO, el equipo de marketing descubre que las cuentas publicitarias están suspendidas o que los dominios están marcados. Resolver una no resuelve la otra, y los procesos para hacerlo implican a diferentes reguladores, diferentes plazos y diferentes partes interesadas internas.

Por qué las plataformas de gestión del consentimiento no detectan esto

Respuesta rápida: Las plataformas de gestión del consentimiento gestionan el consentimiento para las herramientas que están declaradas dentro de la capa de consentimiento. No detectan ni bloquean los scripts que se inyectan fuera del flujo de consentimiento, que se añaden a los contenedores de gestión de etiquetas después de la configuración de la CMP, o que se cargan a través de scripts de proveedores comprometidos. Un píxel que llega a través de un compromiso de la cadena de suministro o una etiqueta GTM no declarada se disparará independientemente de si el jugador dio su consentimiento para cualquier cosa.

Este es un malentendido crítico en cómo muchos equipos de cumplimiento piensan sobre sus obligaciones de procesamiento de datos. Una CMP es una interfaz de consentimiento, no un inventario de scripts ni un monitor en runtime. Solo puede gestionar lo que se le ha declarado.

Una CMP no detectará:

  • Píxeles inyectados por un script de afiliado comprometido que se carga independientemente de la capa de consentimiento
  • Etiquetas añadidas a un contenedor GTM por un miembro del equipo que no actualizó la configuración de la CMP
  • Scripts que se activan condicionalmente, por ejemplo, para jugadores en ciertas regiones geográficas, a ciertas horas del día, o después de acciones específicas
  • Compromisos de la cadena de suministro en bibliotecas upstream que inyectan código de píxeles en runtime sin modificar la URL o el hash del archivo del script huésped

El compromiso de Polyfill.js es instructivo aquí. El ataque modificó el comportamiento de una biblioteca JavaScript que ya estaba cargada, permitida y en algunos casos declarada en la capa de consentimiento. Ninguna CMP lo habría marcado porque el origen y la función declarada del script no habían cambiado. El comportamiento malicioso se añadió en runtime por la versión comprometida de la biblioteca.

Para los operadores de juego, donde cualquier procesamiento de datos no autorizado crea riesgo tanto del GDPR como de la política publicitaria, una CMP sola no es suficiente. La pregunta no es solo "¿dio el jugador su consentimiento para esta herramienta?" sino "¿está esta herramienta haciendo solo lo que se declaró que haría, y es la única herramienta que se ejecuta en esta sesión?"

Cómo cside detecta cada disparo de píxel y lo mapea a su destino de datos

Respuesta rápida: cside instrumenta el 100% de las sesiones de jugadores reales en el browser y observa cada solicitud de red realizada por cada script que se ejecuta en la página. Detecta disparos de píxeles, incluidos los de Facebook, TikTok, LinkedIn y otras plataformas, independientemente de si aparecen en el flujo de consentimiento, el sistema de gestión de etiquetas o el inventario de scripts del operador. Cada disparo de píxeles se mapea a su destino, se marca con una marca de tiempo y se registra como evidencia de cumplimiento.

El desafío con los píxeles no autorizados es que están diseñados para no ser notados. Son unas pocas líneas de JavaScript que realizan una solicitud de red saliente. Sin monitorización en runtime, son invisibles.

cside aborda esto instrumentando la capa de ejecución:

  • Cada script que se carga en las páginas orientadas al jugador se identifica en sesiones reales, incluidos los que se cargan dinámicamente, condicionalmente o a través de llamadas de script anidadas
  • Cada solicitud de red saliente se captura y se mapea a su destino, incluidos los endpoints de píxeles para Facebook (facebook.com/tr), TikTok (analytics.tiktok.com), LinkedIn (px.ads.linkedin.com) y otros
  • Los disparos de píxeles se comparan con la configuración de consentimiento declarada del operador para identificar los que ocurren fuera del flujo de consentimiento o desde fuentes no incluidas en el inventario de scripts
  • Se activan alertas para cada disparo de píxel no declarado con contexto de sesión, marca de tiempo y mapeo de destino
  • Los perfiles de permisos por proveedor permiten a los operadores bloquear el acceso de píxeles y proveedores de análisis a la Payment Request API y a la escritura de cookies en la capa del browser; esta aplicación se mantiene incluso si el código del proveedor se compromete posteriormente, de modo que un script de análisis secuestrado no puede acceder a campos de pago ni establecer cookies de seguimiento independientemente de lo que intente su código

Esto proporciona a los DPO y a los equipos de cumplimiento la evidencia que necesitan para demostrar que la monitorización está en vigor, para investigar incidentes cuando ocurren y para producir documentación para consultas del ICO o notificaciones de violación a la autoridad supervisora.

A diferencia de las herramientas de capa de red, que monitorizan el tráfico en el perímetro pero no pueden ver el contexto en el que se disparó un píxel, o de las CMP, que gestionan las herramientas declaradas pero no pueden detectar las no declaradas, cside opera donde los datos se procesan realmente: dentro del browser, en la sesión del jugador.

En un despliegue en un operador iGaming con licencia de la UE (detalles del operador anonimizados), cside detectó un píxel de TikTok disparándose en las páginas de registro y confirmación de depósito del operador. El píxel había sido inyectado por un script de socio afiliado que se cargaba condicionalmente para los jugadores referidos a través de una fuente de tráfico específica. La CMP del operador no tenía registro de ello. El píxel había estado disparándose durante un período desconocido. Una vez identificado, el operador pudo aislar el script del afiliado, calcular el alcance de los datos transmitidos y producir una evaluación de notificación preliminar para su autoridad supervisora en 24 horas. Ese plazo de respuesta solo fue posible porque los registros de sesión de cside proporcionaban un registro preciso de cuándo apareció el píxel por primera vez y cuántas sesiones había afectado.

Para los operadores que gestionan el riesgo de doble responsabilidad de la aplicación del GDPR y las sanciones de las plataformas publicitarias, la detección de píxeles en tiempo real es el mecanismo que reduce tanto la probabilidad de exposición no detectada como el tiempo hasta el conocimiento cuando se produce un incidente.

Método de detecciónDetecta píxeles declaradosDetecta píxeles no declaradosRastro de evidencia para el ICO
Plataforma de gestión del consentimientoNoParcial: solo registros de consentimiento
Auditoría de gestión de etiquetasSí (en el momento de la auditoría)NoNo: solo instantánea puntual
Monitorización de capa de redParcialParcial: sin contextoNo: sin vinculación de sesión
Monitorización en runtime de csideSí: registros de sesión con marca de tiempo

Qué hacer a continuación

Si su organización tiene una licencia de juego y actualmente no dispone de monitorización en runtime de la actividad de píxeles en las sesiones de jugadores, el punto de partida es comprender qué se está disparando realmente. La solución Privacy Watch de cside proporciona un inventario completo de píxeles a partir de sesiones de jugadores reales, comparado con su configuración de consentimiento, con alertas para cada destino no declarado. Para los DPO que gestionan las obligaciones de notificación de violación bajo el Artículo 33 del GDPR, los registros de sesión que genera cside son la base para una presentación creíble ante la autoridad supervisora. La capacidad de seguridad del lado del cliente aborda los vectores de compromiso upstream a los que las CMP y las herramientas de red no pueden llegar.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Sí. Según los Artículos 5 y 28 del GDPR, los operadores son responsables de todo el procesamiento de datos que ocurre en su dominio, incluido el procesamiento por scripts de terceros que no instalaron deliberadamente. La sanción de £20 millones del ICO contra British Airways estableció que la recopilación de datos en la capa del browser por parte de atacantes es responsabilidad del operador del sitio web, no únicamente del atacante.

Un píxel declarado es aquel que el operador ha evaluado, documentado e incluido en su marco de gestión del consentimiento con una base jurídica apropiada. Un píxel no autorizado es aquel que se dispara sin haber sido declarado, sin una base jurídica documentada y sin un Acuerdo de Procesamiento de Datos con la plataforma receptora. La violación del GDPR existe independientemente de si el píxel se inyectó de forma maliciosa o llegó a través de un error de configuración.

No. Las CMP gestionan la carga de herramientas que se han declarado dentro de la configuración de consentimiento. Los scripts inyectados a través de código de afiliado comprometido, etiquetas GTM no declaradas o compromisos de la cadena de suministro se cargan independientemente de la CMP y se disparan independientemente de las elecciones de consentimiento del jugador. La detección de píxeles no declarados requiere monitorización en runtime de la ejecución real del script.

Los pasos inmediatos son: desactivar el píxel o aislar el script responsable de inyectarlo; evaluar qué datos de jugadores se transmitieron y a qué destino; determinar si la transmisión constituye una violación de datos personales según el Artículo 33 del GDPR; si es así, notificar a la autoridad supervisora relevante en un plazo de 72 horas; documentar el cronograma, el alcance y los pasos de remediación; y revisar el inventario de scripts y la configuración de consentimiento para prevenir su recurrencia.

La responsabilidad del GDPR es regulatoria: el ICO o la autoridad supervisora relevante puede investigar, imponer multas y exigir remediación. La responsabilidad de la plataforma publicitaria es contractual y comercial: la plataforma puede suspender cuentas publicitarias, poner en lista negra dominios y restringir el acceso futuro. Ambas responsabilidades se activan simultáneamente cuando se descubre un píxel no autorizado, y resolver una no resuelve automáticamente la otra. Los equipos jurídico, de cumplimiento y de marketing deben estar involucrados desde el momento del descubrimiento.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo