Blog

Respondiendo a las afirmaciones incorrectas de Reflectiz sobre cside

Descubre por qué las afirmaciones de Reflectiz basadas en escáneres sobre cside son incorrectas y cómo la seguridad client-side en tiempo real de cside ofrece una protección más profunda, análisis forense completo de payloads y cumplimiento con PCI DSS 4.0.1.

Dec 08, 2025 • 12 min read

Simon Wijckmans Founder & CEO

Imagen principal del artículo - afirmaciones incorrectas de Reflectiz sobre cside

TL;DR:

Reflectiz publicó una página de comparación afirmando que cside es ineficaz.

Ninguna de esas afirmaciones resiste el escrutinio técnico.

Reflectiz es una solución de escáner/rastreador. Lo llaman 'agentless', un término confuso en la era de los navegadores agénticos. Escanean tu sitio periódicamente desde IPs de la nube. Este método es ineficaz contra la mayoría de las amenazas client-side. Los atacantes simplemente sirven scripts limpios a los escáneres de seguridad y atacan al resto. Los escáneres ven lo que los atacantes les permiten ver porque los atacantes detectan el escáner. cside ve lo que los atacantes realmente envían a tus usuarios, porque cside se ejecuta dentro de la aplicación.
No nos creas a nosotros; esto es un hecho de diseño básico. Investigación independiente de ISACA, investigadores de seguridad de Google y Oracle, así como investigación académica de la Universidad de Bournemouth, concluyen de forma consistente que los escáneres no pueden seguir el ritmo de las amenazas client-side dinámicas modernas.
cside no accede a datos de clientes. Ver qué campos intenta acceder un script no significa que el contenido introducido en esos campos quede expuesto a cside.
Para implementar cside, pegas 1 script en tu código. Reflectiz, en cambio, necesita eludir la detección de bots, requiere credenciales de usuario y se romperá con frecuencia cuando cambien los flujos de pago o el inventario de productos.
cside no afecta tus estadísticas de marketing porque cside nunca interactúa con la exfiltración de datos. Un escáner que actúa como un usuario sí afecta a la analítica, ya que intenta comportarse como tal.
cside no es solo una solución proxy. Tenemos un modo directo, Gatekeeper y también un escáner para sitios donde no es posible realizar cambios en el código.
cside realiza un análisis dinámico y de comportamiento profundo que las herramientas de escaneo no pueden igualar.

Este artículo analiza algunas de las afirmaciones y explica por qué son inexactas.

Introducción

La seguridad web se enfrenta a nuevos desafíos. Los ataques a la cadena de suministro están constantemente en las noticias, y una parte importante de esa cadena son las dependencias que se ejecutan en el navegador del usuario, donde no tienes visibilidad. Estos ataques han avanzado significativamente en los últimos años. A medida que el panorama de amenazas ha evolucionado, los enfoques fácilmente eludibles se vuelven irrelevantes.

Esto lleva a un resultado predecible: los atacantes no sirven ataques a los escáneres de seguridad.

Recientemente, Reflectiz publicó comparaciones afirmando que cside es de algún modo menos potente que su escáner. Estas afirmaciones no reflejan hechos tecnológicos básicos. Presentan una comprensión incorrecta de la seguridad client-side como disciplina y de cómo funciona cside.

Como contexto importante: cside cuenta con una atestación SOC2 tipo 2 y PCI SAQ-D. Reflectiz no tiene ninguna de las dos; no existe evidencia validada por terceros de que su empresa opere de forma segura.

La precisión importa especialmente en el contexto de la seguridad. Cuando una solución de seguridad oportunista pone en peligro a los usuarios, todos salimos perdiendo.

Las afirmaciones inexactas de Reflectiz sobre cside

Afirmación falsa: cside recopila datos sensibles de los clientes

Reflectiz sugiere que cside recopila datos sensibles de los usuarios, como contraseñas e información de tarjetas de crédito. En realidad, cside monitoriza el comportamiento de los scripts y no tiene ningún acceso a los datos introducidos por los usuarios. El concepto de ver datos o ver qué scripts intentan acceder a qué campos de entrada o APIs es una dimensión completamente diferente.

cside no monitoriza los datos introducidos por el usuario. No tenemos visibilidad sobre lo que escribe un usuario.
cside monitoriza los eventos de un script.

Puede sonar repetitivo, pero:

No interactuamos con los datos que un usuario envía a través de un formulario en un sitio web. cside monitoriza lo que los scripts intentan acceder.

Nuestra solución monitoriza las APIs del navegador que un script intenta usar, qué campos de formulario busca y a dónde se envían los datos.

Todo esto ocurre sin tocar los datos introducidos por el usuario.

Incluso la solución Gatekeeper actúa como un 'conducto puro', lo que significa que somos un proveedor de paso del contenido del script desde el servidor de terceros al usuario. Podemos ser parte de la URL de la que proviene el script, pero no del flujo de exfiltración. El destino al que se envían los datos se monitoriza únicamente como un endpoint.

Existe una separación fundamental entre las acciones de los scripts y las acciones del usuario en un navegador, especialmente en lo que respecta a la introducción de datos. Son literalmente dimensiones diferentes. Esta es una decisión de diseño esencial para proteger la privacidad del cliente y cumplir con la normativa.

Ten en cuenta que cside cuenta con una atestación SOC2 tipo 2 y PCI SAQ-D. Reflectiz no tiene ninguna de las dos. La intención de un proveedor sin ninguna verificación de seguridad por terceros que hace afirmaciones sobre las prácticas de recopilación de datos de otros es, en el mejor de los casos, cuestionable.

Afirmación falsa: implementar cside lleva semanas

La mayoría de los clientes despliegan cside en minutos añadiendo un único script a su sitio. No se requiere nada más. cside admite configuración adicional, como el Gatekeeping selectivo de scripts no confiables o scripts que operan en áreas especialmente sensibles. Estas opciones se ofrecen por flexibilidad, no porque la plataforma lo exija.

No hay configuración de DNS ni SSL, ni migración de infraestructura.

La sugerencia de que cside requiere largos ciclos de integración no tiene ninguna base en cómo se usa el producto en la práctica.

Por otro lado, el escáner de Reflectiz necesita implementar lógica para eludir captchas. A veces incluso te pedirá que pongas sus IPs en la lista blanca de tu solución de detección de bots y requerirá credenciales de usuario para acceder a las páginas de pago. Además, los sitios web cambian. Durante la temporada de rebajas, el flujo tendrá un aspecto diferente al de un día normal de compras. Estos cambios pueden romper sus escaneos. Aunque no tener que añadir un script puede parecer más sencillo, eso no es el panorama completo. Mantener lo necesario para escanear la página de forma fiable a lo largo del tiempo suele requerir un esfuerzo significativo y continuo.

Afirmación falsa: cside es solo una solución proxy

Reflectiz presenta cside como una arquitectura puramente proxy, insinuando una flexibilidad de diseño limitada y posibles problemas de rendimiento o fiabilidad.

El 'modo Gatekeeper' de cside es opcional. Es uno de varios mecanismos disponibles para las organizaciones que desean un control adicional sobre los scripts cargados en su entorno. Muchos clientes no utilizan el servicio de Gatekeeping en absoluto. En su lugar, confían en la monitorización del comportamiento en runtime.

Etiquetar cside como "una solución proxy" ignora la mayor parte de la plataforma.

Afirmación falsa: cside puede causar tiempo de inactividad o interrumpir la analítica

cside utiliza un diseño fail-open. Si el servicio de cside deja de estar disponible, el sitio del cliente carga con normalidad. No hay bloqueo de la ejecución de scripts ni impacto en la funcionalidad de la página. Si cside cae, el script que haría fluir el tráfico hacia o a través de cside simplemente no se serviría. Esta es una arquitectura básica de interruptor de seguridad (dead-man switch). Poco sofisticada pero muy eficiente en escenarios de fallo.

Escribimos un artículo completo sobre esto aquí.

Los sistemas de analítica no se ven afectados porque cside no interactúa con los datos que se les envían. Monitorizar el comportamiento de los scripts no es lo mismo que interceptar o modificar flujos de datos.

La sugerencia de que la analítica se vería interrumpida refleja una incomprensión de la arquitectura de cside. Lo que sí afecta a los datos de analítica es un escáner que intenta comportarse como un usuario. Verás esas solicitudes llegar, llenarán un carrito para llegar a la página de pago y luego abandonarán el pago, lo que sesgará tus métricas. Este es uno de los problemas que enfrentarás al usar una solución basada en escáneres.

Afirmación falsa: Reflectiz detecta más scripts que cside

Reflectiz afirma que detecta entre un 20 y un 50 por ciento más de scripts que cside. Esta afirmación no va acompañada de ninguna metodología, fuente ni documentación.

También afirman que cside no tiene visibilidad sobre los iframes, lo cual es incorrecto. Recopilamos las URLs de los iframes y revisamos el contenido dentro de la sesión del iframe mediante una comprobación asíncrona. Además, los iframes maliciosos suelen inyectarse a través de etiquetas script del elemento padre. El enfoque en los iframes no es tan relevante en el mundo real, ya que el objeto iframe en un ataque raramente está presente de forma nativa. Normalmente es una subpetición de un script.

Más importante aún, la detección de scripts en un entorno de nube no equivale a una protección eficaz en el tráfico del mundo real. Los escáneres pierden inherentemente los tipos exactos de amenazas que utilizan los atacantes modernos:

Ataques dirigidos por user-agent
Ataques que solo apuntan a web-views
Inyecciones condicionales
Ataques dirigidos por geolocalización
Ataques con ventana temporal

cside monitoriza el comportamiento de los scripts en el navegador mediante análisis de acciones en tiempo real. Si un payload malicioso aparece solo para usuarios de una determinada región o solo para usuarios que cside lo verá. Un escáner no.

Los scripts de los que debes preocuparte no van a caer en la trampa de un escáner.

Existe una brecha arquitectónica innegable entre el problema central y cómo funciona un escáner. No se trata de comparar el "número de scripts detectados". Se trata de si una herramienta puede, por diseño, observar las condiciones en las que los ataques realmente ocurren.

Por qué estas tergiversaciones importan

Cuando los proveedores hacen afirmaciones inexactas sobre cómo funcionan las herramientas de la competencia, inducen a error a las organizaciones que dependen de información precisa para proteger a sus usuarios.

Reflectiz eligió el camino de menor esfuerzo para el cliente, lo que sin duda atrae a algunos. Este enfoque tiene ventajas e inconvenientes. Eligieron el enfoque de menor esfuerzo, pero ese enfoque es, por el contrario, fácil de eludir. El problema es que afirman ser los más precisos, y eso es objetivamente falso.

Las decisiones de seguridad deben estar fundamentadas en la arquitectura, no en afirmaciones de marketing incorrectas.

Las herramientas de escaneo no detectan las amenazas client-side modernas

Un rastreador toma instantáneas periódicas de un sitio e intenta clasificar los scripts por su URL o firmas conocidas. Los atacantes de hoy:

Inyectan payloads solo en acciones específicas del usuario
Sirven código diferente a distintas regiones geográficas
Modifican el comportamiento dinámicamente tras hacer fingerprinting del usuario
Dividen la lógica maliciosa entre múltiples scripts
Activan payloads solo bajo condiciones de pago o checkout donde el usuario está autenticado, evitando las credenciales usadas en escenarios de automatización

Estos comportamientos son invisibles para los escáneres. Para profundizar más, consulta nuestro artículo sobre cómo eludir herramientas de escaneo.

Investigación independiente de ISACA, investigadores de seguridad de Google y Oracle, así como investigación académica de la Universidad de Bournemouth, concluyen de forma consistente que la seguridad client-side basada en escáneres no puede seguir el ritmo de las amenazas dinámicas modernas en el lado del navegador.

cside fue diseñado teniendo en cuenta estas realidades. El esfuerzo adicional significativo que dedicamos a construir una plataforma de comportamiento en runtime no es en vano; es porque vimos fallar a los escáneres una y otra vez. Observamos lo que los scripts realmente hacen cuando se ejecutan en páginas reales por usuarios reales, porque sabemos que esa es la única forma de detectar realmente un ataque en vivo.

Este es el único enfoque defendible para la seguridad client-side a escala moderna.

Ilustración que explica cómo un actor malicioso puede inyectar un script malicioso al usuario, pero uno benigno a la herramienta de escaneo.

Conclusión

Las afirmaciones realizadas por Reflectiz son claramente generadas por IA con escasa preocupación por la precisión o la legitimidad.

Reflectiz eligió construir una solución que pudieran implementar para sus clientes, haciéndola más sencilla de adoptar. Construir un escáner es mucho más barato y fácil que construir un servicio de runtime. Estas son decisiones de diseño legítimas. El problema es que afirman que su solución, diseñada para ser fácil, es más precisa. Y eso sencillamente no es verdad. La elección tecnológica de un escáner es una verificación puntual en el tiempo. Para un problema estático, puede ser aceptable. Pero la seguridad client-side es un problema dinámico.

Es importante que se comparta información precisa, incluso en las comparativas con competidores. También depende de reconocer que los atacantes se adaptan rápidamente y se aprovechan de los puntos ciegos creados por herramientas obsoletas. cside está diseñado para eliminar esos puntos ciegos mediante visibilidad en tiempo real que se alinea con cómo operan los ataques modernos.

Elegir entre cside y Reflectiz

Preferiríamos no tener que escribir este artículo, pero la información engañosa que Reflectiz publicó sobre nosotros era demasiado descabellada para ignorarla. Tenemos un artículo más detallado sobre la comparación entre nuestras soluciones que puedes encontrar aquí: cside vs Reflectiz Con el tiempo, creo que todo profesional se encuentra con un competidor que prefiere invertir su tiempo y energía en difundir desinformación y tácticas agresivas para desacreditar a otros en lugar de mejorar su propio producto. Esta es una de esas situaciones.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Reflectiz se basa en un escáner que rastrea sitios web desde entornos no humanos, lo que genera una perspectiva falsa sobre los sitios. Un actor malicioso detecta fácilmente los escáneres y evita servirles contenido malicioso. Los ataques que un escáner puede detectar son los más básicos, pero se deja mucho sobre la mesa. cside es una herramienta de runtime que se ejecuta como parte de la aplicación web. Mantenemos visibilidad total sobre las acciones de los scripts y su payload (sin acceso a los datos introducidos por el usuario) e incluso conservamos un archivo para análisis forense que mejora las detecciones.

El requisito 6.4.3 de PCI DSS exige un mecanismo para impedir que se carguen scripts no autorizados. Ningún escáner puede modificar el contenido del sitio web, por supuesto. Por eso, el argumento de venta de 'no se requieren cambios de código' no cumplirá con los requisitos por diseño. Usando CSP o un script como cside sí se pueden bloquear scripts, pero entonces ¿cuál es el sentido de usar un escáner?

El análisis de cside se realiza a través de nuestra infraestructura combinada con inteligencia client-side, que es invisible para los atacantes. Siempre seremos desafiados por actores maliciosos y en el mundo de JavaScript los enfoques para intentar eludir las detecciones son numerosos. Pero es mucho más difícil que simplemente servir payloads maliciosos a humanos y no a los escáneres. Detectar un escáner automatizado es muy sencillo. La mayoría de los usuarios reales no provienen de direcciones IP de la nube. La mayoría de los usuarios reales no tienen un user agent que contradiga los detalles reales del paquete TCP, lo que indicaría que es una máquina Linux en lugar de un iPhone.

Reflectiz solo ve lo que escanea, y esto es principalmente para los requisitos de cumplimiento de PCI DSS. cside captura y archiva cada payload de script servido a usuarios reales. Esto incluye payloads que fueron bloqueados antes de llegar a los usuarios. El resultado es que cside simplemente tiene más datos sobre cómo se comportan los scripts en entornos de usuarios reales, lo que nos permite mejorar nuestras detecciones y que puedas comprender el alcance del incidente (prevenido).

cside ofrece un dashboard diseñado específicamente para abordar cada uno de los requisitos client-side al pie de la letra, aprobado por VikingCloud, que incluso publicó un whitepaper sobre la solución. Un escáner como Reflectiz proporciona informes periódicos de inventario de scripts y no tiene datos sobre los comportamientos en tiempo real. Ni siquiera puede bloquear un script sin añadir su propio script a la página, y evitar que se carguen scripts no autorizados es un requisito explícito. Por ello, es poco probable que un evaluador con experiencia técnica apruebe una solución como Reflectiz o, en caso de incumplimiento, podría quedar en evidencia que la implementación original nunca fue conforme desde el principio.

La protección en tiempo real identifica los ataques en el momento en que se entregan a los usuarios. El escaneo periódico no puede detectar ataques que aparecen entre escaneos o que solo afectan a segmentos específicos de usuarios. Los atacantes modernos utilizan lógica condicional para evitar la detección, sirviendo código malicioso únicamente a usuarios humanos bajo condiciones específicas. La monitorización continua de cside garantiza que los ataques dirigidos y condicionales sean siempre visibles. Las herramientas basadas en escáneres pierden inherentemente estas amenazas porque solo ven una vista estrecha y predecible del sitio.

El modelo de precios de cside está alineado con la actividad de tu sitio web: el número de visitantes. El precio de nuestro plan de autoservicio está disponible públicamente en nuestra página de precios.

cside monitoriza las acciones de los scripts: qué campos de datos buscan, a dónde se envían los datos y qué APIs intentan interceptar. Los datos que introduce un usuario son una dimensión diferente, por lo que cside no interactúa con ellos. cside nunca interactúa con los datos reales a los que se accede o que se envían. Simplemente registramos esas acciones.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.