Blog Attacks

Prevención de Magecart en 2026: ¿Qué Plataformas de Client-Side Security Lo Detectan de Verdad?

Magecart se ejecuta dentro del navegador a lo largo del proceso de compra. Comparamos cinco plataformas de client-side security según las capacidades que realmente lo detectan.

Jul 01, 2026 • 13 min read

Mike Kutlu Client-Side Security Consultant

Prevención de Magecart en 2026: ¿Qué Plataformas de Client-Side Security Lo Detectan de Verdad?

Magecart es una clase de ataque client-side en la que se ejecuta JavaScript malicioso dentro del navegador de un usuario, capturando de forma silenciosa los datos de las tarjetas de pago a medida que se introducen y transmitiéndolos a un servidor controlado por el atacante. El ataque ocurre por completo dentro del entorno del navegador, después de que la página se haya cargado y antes de que la transacción llegue al procesador de pagos. Las herramientas de seguridad del lado del servidor, los WAF y la inspección de red no pueden detectarlo, porque los datos nunca salen del navegador en una forma que estas puedan interceptar.

El término se originó con un grupo de amenazas específico documentado a partir de 2016. Ahora describe la clase de ataque más amplia: cualquier ataque de skimming que opere en la capa del navegador, ya sea mediante inyección directa de scripts, compromiso de la cadena de suministro de un proveedor de confianza o modificación del payload de un tag manager. El mecanismo es el mismo independientemente del punto de entrada: el código malicioso lee los valores de los campos del formulario y los exfiltra antes del envío.

El Cost of a Data Breach Report 2024 de IBM sitúa el coste medio global de una brecha en 4,88 millones de dólares. El Data Breach Investigations Report 2024 de Verizon incluye los ataques a aplicaciones web entre los tres patrones de brecha confirmados más comunes en el sector retail. Los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1, obligatorios desde el 2025-03-31, se redactaron específicamente para abordar la clase de ataque Magecart mediante el inventario de scripts, la gobernanza de la autorización y la detección de cambios en tiempo de ejecución.

El reto para los equipos de seguridad no es la concienciación. Es seleccionar una plataforma con la arquitectura de detección capaz de atrapar un ataque Magecart real. Este análisis evalúa cinco plataformas de client-side security frente a los requisitos de detección de un modelo de amenazas Magecart práctico.

¿Qué es Magecart? Magecart es una técnica de ataque client-side en la que se inyecta JavaScript malicioso en el entorno de ejecución del navegador de un sitio web para capturar los datos de las tarjetas de pago de los campos del formulario antes de que lleguen al procesador de pagos. El código se ejecuta dentro del navegador, invisible para la monitorización del lado del servidor, los WAF y las herramientas de inspección de red. Los ataques Magecart modernos se entregan mediante el compromiso de la cadena de suministro de scripts de proveedores de confianza, no solo mediante inyección directa.

Qué Requiere Realmente la Detección de Magecart

Respuesta rápida: Tres capacidades distinguen la detección genuina de Magecart de la monitorización de scripts de grado de cumplimiento: cobertura de sesiones de usuarios reales a lo largo de todo el proceso de compra (no solo el checkout), detección de desviaciones de comportamiento a nivel de script y archivado de evidencias de grado IR que registre lo que se estaba ejecutando en el navegador en el momento del ataque. Una plataforma a la que le falte cualquiera de estas pasará por alto categorías enteras de ataque activo.

Cobertura de todo el proceso de compra. La acción coercitiva de la Information Commissioner's Office contra British Airways determinó que aproximadamente 500.000 clientes se vieron afectados a lo largo de un periodo de 15 días en 2018 por un ataque de script en la capa del navegador. Los payloads modernos de Magecart se activan en las páginas de producto y de carrito, no solo en el paso de checkout, porque las señales de intención de compra y las interacciones preliminares con los formularios empiezan antes en la sesión. Una plataforma que solo cubre la página de pago pasa por alto una parte importante de la superficie de ataque actual.

Monitorización de sesiones de usuarios reales. Los payloads de Magecart se construyen cada vez más para evadir los escaneos periódicos y sintéticos. Las técnicas de evasión habituales incluyen la activación limitada en el tiempo (el payload solo se ejecuta durante horas concretas), la segmentación geográfica (el código solo se activa para usuarios de determinados países) y la detección de fingerprint de sesión (el payload se suprime a sí mismo cuando detecta un comportamiento similar al de un bot). Una plataforma que escanea según una planificación, desde un crawler o mediante sesiones sintéticas queda burlada específicamente por estas técnicas. La monitorización de sesiones de usuarios reales no tiene ninguna brecha de detección, porque el ataque se ejecuta en la primera sesión real en la que la versión comprometida está activa.

Detección de desviaciones de comportamiento. Los ataques Magecart de cadena de suministro llegan a través de scripts de proveedores de confianza. Un script de proveedor comprometido servido desde un CDN puede llevar un hash nuevo y de apariencia legítima procedente de un origen autorizado. La monitorización basada solo en el hash no marca este ataque, porque tanto el origen como el canal de entrega están permitidos. La detección de desviaciones de comportamiento establece una línea base de lo que hace cada script en tiempo de ejecución (lecturas de elementos del DOM, acceso a campos del formulario, destinos de red salientes, importaciones dinámicas) y marca los cambios de comportamiento, con independencia de que el hash o el origen parezcan normales.

Archivado de evidencias de grado IR. La forense de las redes de tarjetas y los reguladores de protección de datos exigen documentación de lo que se estaba ejecutando en el navegador durante un compromiso confirmado, qué sesiones se vieron afectadas y qué datos quedaron dentro del alcance. Las plataformas que archivan los payloads desofuscados de los scripts con marcas de tiempo por sesión pueden reconstruir un incidente concreto a partir del registro de evidencias. Las plataformas que solo conservan los metadatos de las alertas y las notificaciones de cambios no pueden responder a esas preguntas.

Las Plataformas

cside

Mejor para: equipos de seguridad de eCommerce que necesitan detección de Magecart de sesión completa a lo largo de todo el proceso de compra, con evidencias de cumplimiento de PCI DSS validadas por un QSA y archivado de payloads de grado IR en una única plataforma.

cside monitoriza cada sesión de usuario real desde la carga de la página hasta la finalización de la transacción, cubriendo las páginas de producto, las páginas de carrito y el checkout. La plataforma detecta cambios en los scripts en cinco categorías: URL, hash, comportamiento, ruta de ejecución y destino. La detección de desviaciones de comportamiento establece una línea base en tiempo de ejecución para cada script de terceros y marca los cambios en lo que el script hace, no solo los cambios en lo que el script es, de modo que los ataques Magecart de cadena de suministro se detectan independientemente del estado del hash o del origen.

Los cambios en los scripts se detectan en menos de 60 segundos de media en sesiones de usuarios reales (datos de producto de cside). El modelo de archivado de payloads desofuscados registra la versión legible de cualquier cambio en un script ofuscado junto con la marca de tiempo por sesión y los destinos de red, respondiendo a las preguntas forenses que plantean las redes de tarjetas y los reguladores tras un incidente confirmado. En el primer trimestre de 2025, cside detectó más de 300.000 señales de ataque client-side nunca antes vistas en los despliegues de sus clientes.

En los 2026 Globee® Cybersecurity Awards, un jurado independiente otorgó a cside el Gold Globee® Award (Best of Category) en Client-Side Security; Jscrambler recibió el Silver. Consulta la comparación detallada cside frente a Jscrambler.

Panel Privacy Watch de cside

El panel de PCI Shield cubre tanto el requisito 6.4.3 como el 11.6.1 con evidencias validadas por el QSA VikingCloud. La incorporación de autoservicio y los precios transparentes permiten a los equipos de seguridad alcanzar una postura de client-side security operativa sin necesidad de contratar servicios.

Source Defense

Mejor para: comercios que quieren limitar a nivel estructural el radio de impacto de un compromiso Magecart de cadena de suministro, mediante sandboxing, en lugar de depender de la detección posterior al hecho.

Source Defense aplica sandboxing a los scripts de terceros en un entorno de ejecución aislado que restringe su acceso a los elementos del DOM de la página de pago y a los campos del formulario. Un script de proveedor comprometido en la cadena de suministro que se ejecute en el sandbox no puede leer los datos de la tarjeta aunque el compromiso no se detecte de inmediato, porque las restricciones estructurales impiden la vía de acceso que requiere un skimmer.

Para los comercios donde la latencia de detección es una preocupación principal (un skimmer ejecutándose durante horas a lo largo de un ciclo de escaneo es inaceptable), el sandboxing como control principal elimina esa ventana. Source Defense también satisface los requisitos 6.4.3 y 11.6.1 de PCI DSS en cuanto al inventario de scripts y la monitorización de cambios. Evalúa la compatibilidad con el JavaScript del procesador de pagos antes de desplegar la capa de sandboxing.

Reflectiz

Mejor para: plataformas de fintech y eCommerce que asumen riesgo de PCI DSS junto con obligaciones de GDPR o HIPAA, y que necesitan mapear el comportamiento de los scripts a múltiples marcos de cumplimiento a la vez.

Reflectiz monitoriza el comportamiento de los scripts de terceros y lo mapea a las obligaciones regulatorias. La función Policies, lanzada en abril de 2026, permite reglas de aplicación automatizadas: los scripts que infringen perfiles de comportamiento definidos activan respuestas automatizadas, lo que reduce la carga de revisión manual en entornos con cadencias de actualización de proveedores de alta velocidad.

Para las organizaciones de fintech donde un compromiso de tipo Magecart de un script de terceros genera a la vez una obligación de evidencias de PCI DSS y un requisito de notificación de GDPR, la cobertura unificada de marcos reduce la sobrecarga operativa de mantener paquetes de evidencias separados. Reflectiz emplea un enfoque de monitorización mediante navegador remoto; valida la cobertura de sesiones de usuarios reales frente a tu modelo de amenazas de evasión antes de seleccionarla como control principal de detección de Magecart.

Jscrambler

Mejor para: equipos de desarrollo de eCommerce que poseen una cantidad significativa de JavaScript propio en el flujo de checkout y necesitan monitorización de Magecart de terceros junto con la protección del código propio.

Webpage Integrity de Jscrambler cubre la monitorización de scripts de terceros para PCI DSS 6.4.3 y 11.6.1, junto con ofuscación, código autodefensivo y detección de manipulación para el JavaScript propio. Para los comercios con una cantidad sustancial de código propietario en la ruta de checkout, el modelo integrado aborda tanto el riesgo de protección del código interno como el requisito de cumplimiento de terceros.

La profundidad de la detección de comportamiento para los ataques Magecart de cadena de suministro debería validarse directamente frente a tu modelo de amenazas específico, en particular para los ataques que usan importaciones dinámicas o evasión de comportamiento, antes de seleccionar Jscrambler como control principal de detección en tiempo de ejecución.

HUMAN Security: Page Protect

Mejor para: grandes plataformas de eCommerce que asumen tanto riesgo de Magecart como fraude de pagos impulsado por bots, y que quieren una cobertura unificada de la capa del navegador bajo un único contrato de proveedor.

Page Protect de HUMAN aborda el riesgo de los scripts client-side como parte de su plataforma más amplia de gestión de bots y prevención del fraude. Para las operaciones de eCommerce donde el credential stuffing, el abuso de inventario y el fraude de pagos coexisten con el riesgo de skimmers, un único proveedor que cubra ambas superficies reduce la complejidad de gestionar múltiples herramientas especializadas.

HUMAN es principalmente una plataforma de prevención de bots y fraude; la capacidad de monitorización de scripts client-side es sólida, pero puede ser menos granular en cuanto a la salida de evidencias de PCI DSS y al archivado de payloads de grado IR que los especialistas dedicados. Los equipos de seguridad con un modelo de amenazas específico de Magecart deberían validar las capacidades de detección de comportamiento de Page Protect frente a cside y Jscrambler antes de comprometerse.

Comparativa de un Vistazo

Plataforma	Todo el proceso de compra	Sesiones de usuarios reales	Desviación de comportamiento	Archivado desofuscado	PCI 6.4.3 + 11.6.1
cside	Sí	Sí (100%)	Sí	Sí	Sí (validado por QSA)
Source Defense	Sí	Sí	Vía sandboxing	Parcial	Sí
Reflectiz	Parcial	Navegador remoto	Solo sintético	Parcial	Sí
Jscrambler	Sí	Sí	Parcial	Limitado	Sí
HUMAN Page Protect	Sí	Sí	Parcial	Limitado	Parcial

Cómo Elegir

Respuesta rápida: Si tu riesgo principal es el skimming activo de Magecart y necesitas evidencias de grado IR para reconstruir un incidente confirmado, prioriza las plataformas con monitorización de sesiones de usuarios reales al 100%, detección de desviaciones de comportamiento y archivado de payloads desofuscados. Si el objetivo es la prevención en lugar de la detección, un enfoque de sandboxing limita estructuralmente lo que un script comprometido puede alcanzar antes de que se produzca la detección.

Si necesitas detectar Magecart activo y producir evidencias forenses: cside ofrece la cobertura más completa: todo el proceso de compra, monitorización de sesiones al 100%, detección de desviaciones de comportamiento, archivado desofuscado y evidencias de cumplimiento de PCI DSS validadas por un QSA.

Si la prevención estructural es el control principal: el enfoque de sandboxing de Source Defense limita el radio de impacto de un compromiso de cadena de suministro antes de que se produzca la detección. Evalúa la compatibilidad del sandbox con el JavaScript de tu procesador de pagos antes del despliegue.

Si asumes varios marcos de cumplimiento junto con PCI DSS: Reflectiz mapea el comportamiento de los scripts a través de PCI, GDPR e HIPAA a la vez. Valida la cobertura del navegador remoto frente a tu modelo de amenazas de evasión de Magecart.

Si la protección del JavaScript propio también está dentro del alcance: Jscrambler cubre la monitorización de terceros y la ofuscación del código propio en una única plataforma. Valida la profundidad de la detección de comportamiento de terceros frente a los patrones de ataque Magecart actuales.

Para una visión más amplia de cómo encajan estos controles en los stacks de eCommerce y fintech, consulta nuestra guía sobre client-side security para plataformas de eCommerce y fintech y cómo evaluar las herramientas de visibilidad de ataques al navegador en tiempo real.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Magecart es un tipo de ataque de web skimming en el que se ejecuta JavaScript malicioso dentro del entorno del navegador de un sitio web, capturando de forma silenciosa los datos de las tarjetas de pago a medida que los usuarios los introducen. El código lee los valores de los campos del formulario en el navegador antes de que lleguen al procesador de pagos y los transmite a un servidor controlado por el atacante. El ataque opera por completo en la capa del lado del cliente, lo que significa que la monitorización del lado del servidor, los WAF y las herramientas de inspección de red no lo detectan en tránsito.

Una CSP bien configurada restringe qué orígenes de scripts están permitidos y bloquea muchas vías de inyección directa. Sin embargo, la CSP no protege contra los ataques Magecart de cadena de suministro, en los que el código malicioso se entrega a través del CDN de un proveedor de confianza cuyo origen ya está permitido en la política. PCI DSS 11.6.1 exige explícitamente la monitorización en tiempo de ejecución además de la CSP, porque la CSP por sí sola no satisface el requisito.

Los payloads modernos de Magecart incluyen lógica de evasión diseñada específicamente para esquivar los escaneos periódicos y sintéticos. Las técnicas habituales incluyen la activación limitada en el tiempo, la segmentación geográfica y la detección de fingerprint de sesión que suprime el payload cuando la sesión coincide con patrones de comportamiento de bot. Las plataformas que escanean según una planificación o desde sesiones sintéticas quedan burladas por estas técnicas. La monitorización de sesiones de usuarios reales no tiene esa debilidad, porque observa las mismas sesiones a las que apunta el atacante.

El tiempo de detección depende por completo de la arquitectura de monitorización. Las plataformas con monitorización de sesiones de usuarios reales detectan el ataque en la primera sesión en la que se ejecuta el script comprometido, potencialmente a los pocos minutos de actualizarse el script del proveedor. Las plataformas de escaneo periódico pueden pasar por alto el ataque durante horas o días, según la frecuencia de escaneo. PCI DSS 11.6.1 exige una evaluación semanal de los cambios en la página de pago, lo que significa que una plataforma conforme que opere al mínimo estándar puede permitir un ataque de varios días entre ciclos de escaneo.

Conserva el payload desofuscado del script comprometido, el registro de detección por sesión que muestra cuándo apareció el cambio por primera vez, la lista de sesiones y ventanas de tiempo durante las cuales la versión comprometida estuvo activa, y los registros de destino de red saliente de los datos transmitidos durante esas sesiones. Estas evidencias responden a las preguntas forenses que plantean las redes de tarjetas y los reguladores: qué datos quedaron expuestos, de qué usuarios y durante cuánto tiempo. Las plataformas con archivado continuo a nivel de sesión hacen viable esta reconstrucción; las plataformas que solo conservan los metadatos de las alertas no.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo detener el account sharing en plataformas de gaming: detectar servicios de boosting y venta de cuentas sin marcar a los hogares

El account sharing en gaming adopta tres formas distintas: boosting, venta de cuentas y acceso familiar.

Client-Side Security para eCommerce y Fintech: las Mejores Plataformas en 2026

Los sitios de eCommerce y fintech se enfrentan al skimming de Magecart y a PCI DSS 4.0.1. Analizamos seis plataformas de client-side security para proteger los scripts de la página de pago.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre herramientas de muestreo que no detectan ataques en tiempo de ejecución

Por qué las herramientas de seguridad basadas en muestreo no detectan los ataques en runtime en plataformas de juego

Las herramientas que muestrean menos del 10% de las sesiones se crearon para auditorías, no para detectar ataques en vivo. Aquí está la brecha.

Cómo detener el account sharing en plataformas de ecommerce: detectar membresías compartidas sin bloquear compradores del mismo hogar

El account sharing en ecommerce toma tres formas distintas: uso compartido de membresías de suscripción, uso compartido de credenciales en programas…

Cómo Detectar y Bloquear Agentes de IA Desconocidos en Tu Sitio Web

Los agentes de IA desconocidos no tienen user-agent e ignoran robots.txt. Aprende qué señales del navegador delatan a los agentes no declarados y cómo actuar.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre requisitos de seguridad de scripts de la UK Gambling Commission

Condiciones de licencia de la UK Gambling Commission y seguridad de scripts de terceros: lo que los operadores necesitan saber

El LCCP de la UKGC exige un entorno técnico seguro. Los scripts de terceros que redirigen jugadores o exfiltran datos crean exposición directa.

Account sharing en SaaS B2B: cómo aplicar la licencia por puestos sin bloquear a equipos legítimos

El sharing de puestos en SaaS B2B es la forma de abuso de credenciales más poco detectada.

Cómo Bloquear la Automatización con Playwright en Tu Sitio Web

Playwright ejecuta navegadores reales que en la capa de red son idénticos a los humanos. Aquí te explicamos cómo detectarlo y por qué fallan robots.txt y el bloqueo de IP.

Diagrama de una cadena de dependencias de terceros con un SDK de analítica comprometido que inyecta código malicioso en el frontend de Polymarket.

Dentro del ataque de cadena de suministro del lado del cliente a Polymarket de $3M

Un proveedor externo comprometido inyectó un script vaciador de monederos en el frontend de Polymarket y robó unos $3M. Los smart contracts no se tocaron.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles de seguimiento ocultos y riesgo publicitario en sitios de juego

Shadow tracking pixels en sitios de juego: el problema de cumplimiento de GDPR y publicidad que los operadores no pueden ver

Los pixels no autorizados de Facebook, TikTok o LinkedIn en sitios de juego activan responsabilidad GDPR y de plataformas a la vez.