Blog

Cómo cside llevó la IA a la seguridad del lado del cliente

En 2024, cside lanzó la primera solución de seguridad del lado del cliente con IA integrada para el análisis de seguridad de JavaScript y la automatización del cumplimiento.

Dec 14, 2025 • 9 min read

Simon Wijckmans Founder & CEO

cside-primera-plataforma-para-integrar-la-ia-en-la-seguridad-del-lado-del-cliente

TL;DR

En mayo de 2024, se lanzó cside como la primera solución de seguridad del lado del cliente. para integrar la IA en su producto.

Utilizamos modelos de código abierto autohospedados en nuestra propia infraestructura para analizar JavaScript en busca de intenciones maliciosas. Explique el comportamiento de los scripts en un lenguaje sencillo, realice un seguimiento de los cambios a lo largo del tiempo y automatice las revisiones de cumplimiento de los scripts PCI DSS 4.0.1.

A diferencia de las soluciones que aprovechan las API de IA de terceros, nuestra arquitectura evita la fuga de datos y protege la privacidad del usuario final mediante el uso de LLM de código abierto autohospedados. Para organizaciones con restricciones de IA, estas funciones se pueden desactivar. La IA es una superposición, no un requisito, pero ha demostrado ser increíblemente valiosa para GRC y los equipos de seguridad.

Seguridad del lado del cliente en la era de la IA

Cuando lanzamos cside en mayo de 2024, queríamos detectar ataques que otros no detectaban. Entonces tomamos una decisión que nos diferencia de todos los demás actores en el espacio de seguridad del lado del cliente: integramos la IA en el núcleo de nuestro producto desde el primer día.

En ese momento, éramos el único proveedor de soluciones que utilizaba LLM para abordar la seguridad de JavaScript del lado del cliente. Más tarde, el resto del mercado siguió nuestro ejemplo, pero la forma de implementar la IA es tan importante como la funcionalidad que proporciona.

Por qué la IA es importante para la seguridad de JavaScript

JavaScript es excepcionalmente difícil de analizar. Los proveedores de soluciones SAST también utilizan LLM para analizar código. Pero los scripts del lado del cliente cambian constantemente, se ofuscan a propósito y pueden comportarse de manera diferente según quién los esté viendo, dónde se encuentran o qué hora es.

La coincidencia de patrones tradicional se desmorona cuando los atacantes aleatorizan su código o se dirigen a usuarios específicos.

A diferencia de los sistemas operativos, los navegadores no fueron creados para brindar seguridad. Por eso cside ofrece múltiples enfoques para cubrir los huecos:

Método Script (el más fácil): comprobamos el comportamiento de los scripts en el navegador y los recuperamos de nuestro lado, luego verificamos que sea el mismo script. No nos colocamos en la ruta de un script a menos que nos lo pidas explícitamente. Fácil de implementar, sin impacto en el rendimiento, y aun así puedes detener acciones de scripts o bloquear por URL, hash o dominio.
Método Escaneo (el más rápido): si no puedes añadir un script a tu sitio, cside lo analiza utilizando inteligencia sobre amenazas procedente de miles de sitios web con miles de millones de visitas combinadas. Rápido de configurar y útil cuando la instalación de un script no es posible.

La combinación de estos modos nos acerca a la cobertura total que es técnicamente posible hoy en día.

Los LLM son realmente buenos para contextualizar JavaScript incluso cuando ha sido destrozado hasta quedar irreconocible. Un LLM puede observar código ofuscado, comprender su intención y señalar comportamientos que el análisis estático pasaría por alto por completo. Esa capacidad es increíblemente valiosa para la seguridad de JavaScript. Pero sólo si se implementa de manera responsable.

Arquitectura de IA responsable: por qué nos autohospedamos

cside ejecuta LLM de código abierto en nuestra propia infraestructura en la nube. Mantenemos un control total sobre los datos que fluyen a través de nuestros modelos.

A menudo, cuando las empresas ofrecen funciones habilitadas para IA, utilizan de forma predeterminada API de empresas de IA conocidas. Si bien esas empresas tienen datos de características que se utilizan en capacitación sin consentimiento, los datos se proporcionan a un tercero. En un mundo ideal, los datos nunca salen de su área de control.

Al ejecutar nosotros mismos modelos de código abierto, no hay riesgo de que el contenido del script se filtre a proveedores externos. No hay posibilidad de que los datos del cliente aparezcan en un conjunto de capacitación.

Cuando envía JavaScript a una API de terceros, confía en las políticas de manejo de datos de ese proveedor, que cambian activamente con el tiempo.

cside comprende los requisitos de seguridad y lo que se necesita para mantener sus datos seguros. Puede verificar nuestra postura de seguridad usted mismo en nuestro Centro de confianza, donde publicamos nuestra documentación SOC 2 Tipo II, pruebas de penetración y PCI DSS AOC.

Cómo cside utiliza la IA: 4 aplicaciones principales

Aquí es donde realmente se ejecuta la IA en nuestro producto.

1. Análisis de scripts en busca de intenciones maliciosas

Cada script que se carga en su sitio se analiza en su forma original y después de la desofuscación. El LLM busca patrones que indiquen comportamientos maliciosos:

Robo de tokens de sesión
Intercepción y filtración de datos no autorizada
Recolección de credenciales
Manipulación de formularios de pago

Esto se aplica tanto a los scripts de apariencia limpia como a los más alarmantes. Ya sea en el fragmento principal de JavaScript o en una pequeña subsolicitud.

La IA atrapa a ambos. Entiende el contexto de una manera que las detecciones basadas en expresiones regulares simplemente no pueden. y a diferencia escáneres, CSP o productos basados en agentes, estamos analizando la carga útil real que reciben sus usuarios, sabemos que es exactamente lo que obtuvo el usuario. No solo estamos verificando la información proporcionada por las amenazas o esperando que se activen las trampas del lado del cliente, aunque, por supuesto, también utilizamos esos métodos como capas en nuestro motor de detección.

La capa de IA de nuestro motor de detección es solo una de muchas capas diferentes, pero la IA puede ser muy eficaz para detectar comportamientos maliciosos ocultos.

2. Guión de razonamiento empresarial

¿Este widget de chat debería tener acceso a los datos del formulario?
¿Por qué aparece este script de análisis en su página de pago?
¿Es necesario ejecutar esta herramienta de marketing como parte del proceso de pago?

Proporcionamos un motivo comercial generado por LLM, que es un requisito de cumplimiento para algunos marcos.

Ahorro de horas de investigación a los equipos. En lugar de revisar cada cambio de hash del script o intentar encontrar quién lo agregó, obtiene una explicación en lenguaje sencillo de lo que hace cada script.

3. Explicar los cambios a lo largo del tiempo

Los guiones no permanecen estáticos. Muchos se actualizan constantemente. La semana pasada, script X realizó acciones relacionadas con la analítica. Esta semana, también accede a localStorage y realiza solicitudes a un nuevo dominio registrado que apunta a una dirección IP residente.

¿Qué cambió? ¿Importa?

La IA de cside genera explicaciones legibles por humanos para los cambios de guión. No es necesario ser un investigador de seguridad para comprender qué sucedió entre los cambios. La plataforma le dice exactamente qué es diferente y si genera inquietudes.

Esto es muy útil para las auditorías de cumplimiento. Cuando un auditor pregunta sobre el comportamiento del guión durante los últimos seis meses, usted tendrá explicaciones documentadas y con fecha y hora listas para usar. Nuestro seguimiento 100% histórico significa que nada se pierde.

4. IA para la automatización del cumplimiento de PCI DSS 4.0.1

Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 exigen una revisión continua de los scripts en las páginas de pago. La mayoría de los equipos manejan esto manualmente: cargando la página, inspeccionando los scripts, documentando todo y repitiendo el proceso semanal o mensualmente.

con Escudo PCI, la IA maneja la revisión automáticamente. Se analiza cada cambio de script en las páginas de pago. Si el cambio parece benigno, no es necesario realizar ninguna acción. Si muestra signos de comportamiento malicioso, recibirá una alerta con un desglose completo de lo sucedido.

Este enfoque ha sido validado por VikingCloud, quien confirmó que cside cumple con los requisitos PCI DSS 4.0.1 6.4.3 y 11.6.1 cuando se implementa correctamente. tu puedes leer el informe completo o descargarlo desde nuestro Centro de confianza.
Esto no es sólo conveniencia. Es la diferencia entre respuesta reactiva a incidentes y prevención proactiva de amenazas.

La flexibilidad es la respuesta

Entendemos que no todas las organizaciones están preparadas para adoptar la IA en toda su tecnología. Algunos tienen políticas internas contra el uso de IA. Otros quieren evaluarlo caso por caso.

Es por eso que todas nuestras funciones de IA se pueden desactivar. La superposición está ahí si la desea, pero no es obligatorio ejecutar cside.

Aún obtendrá visibilidad completa de la carga útil, bloqueo en tiempo real, seguimiento histórico e informes de cumplimiento sin IA.

Ya sea que esté utilizando el Método Script o el Método Escaneo, la plataforma ofrece visibilidad completa de los scripts y un diseño a prueba de fallos. La IA es una mejora y, para los equipos que pueden usarla, la capa de IA hace que todo sea más rápido y preciso.

Por qué esto importa ahora

Los ataques del lado del cliente son cada vez más sofisticados. Los atacantes saben que el lado del servidor y sus dependencias estáticas de código abierto están siendo monitoreados de cerca. Así que han ajustado su superficie de ataque y son:

Utilizar scripts dinámicos del lado del cliente que cambian según el contexto del usuario, evitando la detección mediante análisis estáticos.
Scripts muy confusos para evitar análisis estáticos.
Explotar la brecha entre lo que permiten las especificaciones del navegador y cómo se construye realmente el navegador.

Las herramientas con casillas de verificación no pueden seguir el ritmo. Las infracciones de CSP no indican qué hay dentro de un script y son difíciles de gestionar. Los rastreadores reciben cargas útiles limpias, mientras que los usuarios reales ven las maliciosas. El monitoreo del comportamiento solo detecta ataques después de que ya se han ejecutado y es propenso a eludir métodos.

Las detecciones basadas en IA y un enfoque que combine métodos tienen las mejores posibilidades. Analiza el comportamiento en tiempo real, comprende el código ofuscado incluso cuando falla la desofuscación y señala anomalías que la coincidencia de patrones pasaría por alto.

Modelos autohospedados, infraestructura aislada y sin compartir datos con terceros. Así es como se obtienen los beneficios de la IA sin introducir nuevos riesgos ni enfrentar rechazos internos.

¿Listo para comprobar cside out? Empieza gratis o reservar una demostración para charlar con nuestro equipo.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Utilizamos LLM de código abierto que alojamos y mantenemos en nuestra propia infraestructura de nube. Esto nos da control sobre el comportamiento, el entrenamiento y el manejo de datos del modelo. No dependemos de API de terceros.

No. La IA analiza tanto el guión original como su versión desenfocada. Las técnicas de ofuscación que engañan a los analizadores estáticos no funcionan con los modelos de lenguaje contextual. El LLM comprende lo que hace el código, no solo su apariencia.

No. Nuestra arquitectura autohospedada significa que ningún dato del cliente sale de nuestra infraestructura controlada. No enviamos contenidos de scripts a proveedores externos de IA. Para las organizaciones con políticas estrictas de IA, todas las funciones de IA se pueden desactivar manteniendo la funcionalidad de seguridad completa. Consulte nuestro Centro de confianza para conocer nuestras certificaciones de cumplimiento.

Cada vez que se carga un script. Capturamos y analizamos la carga útil completa en cada solicitud. Esto nos permite detectar cambios inmediatamente y rastrear el comportamiento a lo largo del tiempo con visibilidad histórica completa.

Recibirá una notificación con una explicación detallada de por qué se marcó el script. Nuestro panel incluye la carga útil completa del script, análisis contextual y comparaciones históricas para que su equipo pueda revisar la decisión. Los falsos positivos son raros, pero cuando ocurren, la transparencia ayuda a resolverlos rápidamente.

Sí. Todas las capacidades de IA se pueden desactivar. Seguirá obteniendo bloqueo en tiempo real, visibilidad completa de la carga útil, seguimiento histórico, informes de cumplimiento y todas las demás funciones de seguridad principales. La IA es una mejora, no un requisito.

cside ofrece dos métodos de despliegue complementarios. El Método Script es el más fácil: verificamos el comportamiento de los scripts en el navegador y los recuperamos de nuestro lado para confirmar que sea el mismo script, sin colocarnos en la ruta del script salvo que nos lo pidas explícitamente. El Método Escaneo es el más rápido: si no puedes añadir un script a tu sitio, cside lo analiza con inteligencia sobre amenazas de miles de sitios web. Puedes combinar ambos para obtener la mejor cobertura.

No. No utilizamos datos de clientes para entrenar nuestros modelos. El contenido de su script, los resultados de los análisis y los datos de cumplimiento permanecen dentro de su entorno aislado. Esta es una parte central de nuestra arquitectura.

Las API de terceros introducen riesgos al compartir datos. Cuando envía JavaScript a un proveedor externo, confía en sus políticas de capacitación y retención de datos. Con cside, el modelo se ejecuta en nuestra infraestructura, lo que significa que sus datos nunca salen de nuestro control. No hay participación de terceros en ningún punto del proceso de análisis.

Hemos escrito un desglose detallado en nuestra página de Comparación. La versión corta: las soluciones exclusivas de CSP no analizan las cargas útiles, los rastreadores no detectan ataques dirigidos y los productos basados en agentes pueden evitarse. cside ve exactamente lo que ven sus usuarios.

Contribuimos activamente al W3C y a la comunidad de seguridad web en general. Sin embargo, nunca compartimos datos específicos del cliente. Nuestras contribuciones de investigación se centran en metodologías, patrones de detección y enfoques arquitectónicos, no en guiones o incidentes individuales.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.