Blog

Secuestro de afiliados y secuestro de tráfico: cómo los scripts de fraude redirigen usuarios

El secuestro de afiliados es secuestro de tráfico para fraude de comisiones: scripts del navegador redirigen clics por enlaces de afiliado controlados por atacantes. Así funciona y cómo detenerlo.

Jul 10, 2025 • 6 min read

Himanshu Anand Software Engineer

banner del artículo sobre fondo negro y azul

¿Alguna vez hiciste clic en un enlace y terminaste en un lugar inesperado? ¿O notaste que un sitio web se comportaba de forma extraña, enviándote a otros sitios que no pediste visitar? Esto podría ser una señal de secuestro de tráfico.

Veamos qué significa esto, cómo funciona y cómo puedes protegerte.

Actualización 2026: actualizamos esta guía para separar el secuestro de afiliados del secuestro de tráfico más amplio y mostrar por qué las redirecciones en el navegador pueden ocurrir incluso cuando el servidor y la página de pago están limpios.

¿Qué es el secuestro de afiliados?

El secuestro de afiliados es una forma de secuestro de tráfico en la que JavaScript inyectado cambia el clic, el enlace saliente o la ruta de sesión de un usuario para que pase por la URL de afiliado de un atacante antes de llegar al destino real. El usuario puede llegar igualmente al sitio esperado, pero la atribución y el crédito de comisión pasan al atacante. Como la redirección se activa dentro del navegador, los registros del servidor, los WAF y los controles centrados solo en checkout suelen ver una solicitud normal mientras el robo de ingresos ocurre entre el clic y el destino.

¿Qué es el secuestro de tráfico?

El secuestro de tráfico ocurre cuando alguien modifica en secreto el destino de los enlaces de un sitio web, enviando a los visitantes a otros sitios, generalmente con fines maliciosos. Esto perjudica tanto a los usuarios (que son engañados o expuestos a peligros) como a los propietarios del sitio (que pierden confianza e ingresos).

Hemos condicionado a los usuarios a pensar que es normal que, al hacer clic en "Pagar", la pantalla parpadee y se cargue una página completamente nueva desde un dominio totalmente diferente.

Pero esto es un punto ciego enorme, y los atacantes lo saben.

Así que si estás protegiendo el formulario de pago en sí —validando los scripts de esa página con cside, por ejemplo— tiene todo el sentido que un actor malicioso secuestre el clic que lleva a los usuarios hasta allí.

Profundizamos en esta táctica en esta actualización de PCI DSS de enero para empresas SAQ A.

Esta táctica específica se conoce como clickjacking (simplemente una estrategia del secuestro de tráfico), y se usa habitualmente para suplantar flujos de confianza.

Tipos de secuestro de un vistazo

Término	Qué es	A quién perjudica
Secuestro de tráfico	Un código modifica en secreto el destino al que los enlaces o la navegación de un sitio envían a los visitantes	Usuarios y propietarios de sitios
Clickjacking	Engaña a un usuario para que haga clic en algo distinto de lo que ve, a menudo mediante capas invisibles	Usuarios
Secuestro de afiliados (secuestro de enlaces)	Redirige un clic o una sesión a través del enlace de afiliado de un atacante para robar una comisión	Programas de afiliados y propietarios de sitios
Redirección maliciosa	Envía a un visitante a una página fraudulenta o con malware a mitad del flujo	Usuarios y propietarios de sitios

¿Cómo funciona el fraude de afiliados?

El secuestro de afiliados es la forma más común: un código malicioso fuerza el clic o la sesión de un usuario a pasar por el enlace de afiliado de un atacante antes de que se cargue el destino real, de modo que el atacante cobra una comisión que el visitante nunca tuvo intención de generar. De forma más amplia, el fraude de afiliados ocurre cuando alguien abusa de los programas de afiliados (que pagan por clics o ventas) forzando a los usuarios a pasar por sus enlaces especiales, aunque el usuario nunca haya querido ir allí. Esto es injusto tanto para el sitio web legítimo como para las empresas que gestionan los programas de afiliados.

Una táctica habitual es el secuestro de enlaces, donde un script redirige al usuario a través del enlace de afiliado del atacante antes de llegar al destino final. En casos más sofisticados, los atacantes insertan enlaces de afiliado de forma dinámica solo para ciertos usuarios de alto valor, o en función de señales del navegador, lo que dificulta la detección.

¿Cómo ocurren estos ataques? (con fragmentos de código sencillos)

Los atacantes utilizan JavaScript oculto en los sitios web.

Así es como funciona, paso a paso:

1. Detectar tu navegador

El script primero comprueba qué navegador estás usando:

// Comprueba si estás usando Chrome, Firefox, Safari, etc.  
function getBrowser() {  
  // ...detecta el tipo de navegador...  
}

2. Reemplazar los enlaces de descarga

Encuentra todos los enlaces de descarga y cambia lo que ocurre al hacer clic en ellos:

// Encuentra todos los enlaces de descarga y cambia su comportamiento  
let links = document.querySelectorAll('a.dlink');  
for (let link of links) {  
  link.setAttribute('href', 'javascript:void(0);');  
  link.addEventListener('click', function () {  
    // En lugar de descargar, eres redirigido  
    window.open('https://malicious-redirect[.]com', "_blank");  
  });  
}

3. Rastrear y limitar las redirecciones

Para no resultar demasiado obvio, el script usa cookies para limitar la frecuencia con la que eres redirigido:

function hasCookie() {  
  return document.cookie.includes('wpdlInterval=1');  
}

¿Qué significa esto para ti?

Para los usuarios: Podrías terminar en sitios fraudulentos o peligrosos, o tu equipo podría infectarse.
Para los propietarios de sitios web: Tus visitantes pierden la confianza, tu reputación se ve afectada, corres el riesgo de incumplir normativas de cumplimiento y pierdes ingresos reales.

¿Cómo puedes detectarlo y prevenirlo?

Para usuarios:

Ten cuidado con los enlaces de descarga, especialmente en sitios desconocidos.
Usa una extensión de navegador o un bloqueador de anuncios que avise sobre redirecciones sospechosas.
Mantén tu navegador y antivirus actualizados.

Para propietarios de sitios web:

Analiza tu sitio regularmente en busca de scripts desconocidos.
Usa plugins de seguridad y mantén tu software actualizado.
Configura alertas para patrones de tráfico inusuales.

Reflexiones finales

El secuestro de tráfico y el fraude de afiliados son amenazas reales. Entender cómo funcionan estos ataques te permite protegerte mejor a ti y a tu sitio web. Mantente alerta y sé siempre precavido con los enlaces desconocidos.

Para los propietarios de sitios web, la defensa es la visibilidad en la capa del navegador. El código de secuestro de afiliados y de redirección solo se revela en tiempo de ejecución en el navegador, así que lo que lo detecta es la monitorización de seguridad del lado del cliente que inventaría cada script y alerta sobre cambios no autorizados en los enlaces salientes. cside también marca los agentes de IA y bots que cada vez automatizan más este abuso.

Regístrate para empezar o reservar una demo.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El secuestro de afiliados es una forma de fraude de afiliados en la que un código malicioso en un sitio fuerza el clic o la sesión de un usuario a pasar por el enlace de afiliado de un atacante antes de enviarlo al destino real, de modo que el atacante gana una comisión que el usuario nunca tuvo intención de generar. Normalmente se ejecuta como JavaScript inyectado que reescribe los enlaces de descarga o salientes, a veces solo para ciertos usuarios o señales del navegador para evitar ser detectado.

Sí. El secuestro de afiliados puede provenir de un script de tercero comprometido, una entrada no autorizada en un tag manager o una extensión de navegador maliciosa que se ejecuta en el dispositivo del usuario. En esos casos, el servidor puede parecer limpio mientras JavaScript en el navegador reescribe enlaces, abre redirecciones de afiliado o cambia cookies de atribución.

El clickjacking engaña a un usuario para que haga clic en algo distinto de lo que ve, a menudo mediante capas invisibles. El secuestro de afiliados redirige específicamente el clic o la navegación a través del enlace de afiliado de un atacante para robar comisiones. El clickjacking es una técnica; el secuestro de afiliados es uno de los resultados fraudulentos que pueden producir los scripts de redirección inyectados.

Un script inyectado encuentra los enlaces salientes o de descarga y los reescribe, o añade un detector de clic que primero abre la URL de afiliado del atacante. A menudo usa cookies para regular la frecuencia con la que se activa y comprobaciones del navegador para apuntar solo a ciertos visitantes, lo que hace que el comportamiento sea difícil de reproducir y casi invisible para las herramientas del lado del servidor.

Como el código malicioso se ejecuta en el navegador, los controles del lado del servidor no lo detectan. Detéctalo con monitorización del lado del cliente que inventaríe cada script, marque los cambios no autorizados en los enlaces salientes o de descarga y alerte cuando el código redirija a los usuarios a dominios no aprobados. cside monitoriza los scripts en tiempo de ejecución en el navegador para detectar el código de redirección y de secuestro de afiliados inyectado antes de que perjudique a los usuarios o a los ingresos.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.