NOTA: ahora tenemos un artículo más completo sobre el ataque de Polyfill, además de una cronología y análisis completos de Polyfill.io (2024–2026).
El dominio cdn.polyfill[.]io está siendo utilizado actualmente en un ataque a la cadena de suministro web. Solía alojar un servicio para agregar polyfills de JavaScript a sitios web, pero ahora está insertando código malicioso en scripts servidos a usuarios finales.
Entre los +490k sitios web atacados, se confirmó que el dominio todavía estaba activo en el servicio de streaming de Disney, Hulu, The Guardian, Intuit y muchos más.
Acción Inmediata: Revisa tu código en busca de cualquier uso del dominio polyfill.io y elimínalo de tus aplicaciones. A continuación, explicamos cómo cside puede detectar y bloquear estas amenazas. Comienza a usar cside gratis hoy y protégete. Usa nuestro escáner de scripts para verificar qué vulnerabilidades tiene tu sitio.
Un proyecto de código abierto llamado Polyfill permite a los sitios web usar características modernas de JavaScript en navegadores antiguos al incluir solo los polyfills necesarios según el navegador del usuario. En febrero de 2024, el dominio polyfill.io fue comprado por Funnull, una empresa china. Tras la venta, el desarrollador, Andrew Betts, instó a los usuarios en Twitter a eliminar las referencias a este CDN:
Si tu sitio web usa
, elimínalo INMEDIATAMENTE.
Yo creé el proyecto del servicio polyfill pero nunca he sido dueño del nombre de dominio y no he tenido ninguna influencia sobre su venta.
— Andrew Betts (@triblondon)
Los proveedores de CDN más populares han creado desde entonces sus propias versiones, dando a los usuarios una opción más segura. La mayoría de los navegadores han evolucionado para hacer que esto ya no sea necesario de todos modos. Se creó un sitio web llamado Polykill para reportar esto y las posibles soluciones. Puedes usarlo para investigar si un sitio ejecuta el dominio comprometido. Al momento de escribir este artículo, no se ha actualizado con referencia a este problema.
Se encontró que el dominio inyectaba código malicioso en dispositivos a través de sitios web que usan cdn.polyfill[.]io. El código malicioso genera dinámicamente cargas útiles basadas en encabezados HTTP, activándose solo en dispositivos móviles específicos, evadiendo la detección, evitando usuarios administradores y retrasando la ejecución. El código también está ofuscado. El proveedor de seguridad Sansec documentó el payload en su informe forense. (El CVE-2024-38526 relacionado se asignó a pdoc, la herramienta de documentación de Python que cargaba polyfill.io, no al incidente en su conjunto.)
En algunos casos, los usuarios reciben archivos JavaScript manipulados, que incluyen un enlace falso de Google Analytics googie-anaiytics[.]com/gtags.js. Este enlace falso redirige a los usuarios a varios sitios web de apuestas deportivas y pornográficos, aparentemente según su región. Pero siendo JavaScript, podría en cualquier momento introducir nuevos ataques como formjacking, clickjacking y robo de datos más amplio.
Un sitio al que fuimos redirigidos al probar esta vulnerabilidad:

Entre el 7 y 8 de marzo de 2024, los mantenedores del dominio agregaron un encabezado de Protección de Seguridad de Cloudflare a su sitio, como se puede ver en Internet Archive. Su propósito no fue explicado y no está claro.
Cloudflare ha confirmado desde entonces que no autorizó su uso.

Este ataque pone en riesgo inmediato a cientos de miles de sitios web. Los primeros reportes hablaron de 100.000, pero esa cifra era simplemente el límite de resultados por defecto de la herramienta de búsqueda PublicWWW. El recuento real fue de más de 490.000. (Censys contó de forma independiente 384.773 hosts que aún referenciaban el dominio el 2024-07-02.) Cuando un dominio que alguna vez fue seguro está integrado en tantos sitios web y oculto como lo están las amenazas de JavaScript, se convierte en un camino tentador para actores maliciosos.
Presumiblemente, Funnull, el propietario actual de los dominios de Polyfill, creó una cuenta social con el mismo nombre alrededor del momento reportado en que compraron los dominios (febrero de 2024). En publicaciones en X (anteriormente Twitter), acusan a Cloudflare, los medios y otros de difamación maliciosa:
Alguien nos ha difamado maliciosamente. No tenemos riesgos en la cadena de suministro porque todo el contenido está almacenado en caché estáticamente. Cualquier participación de terceros podría introducir riesgos potenciales a tu sitio web,
pero nadie haría esto ya que pondría en peligro nuestra propia reputación.
Ya hemos…— Polyfill (@Polyfill_Global)
Toma acción ahora
El servicio Polyfill en sí mismo sigue siendo sólido. Puedes alojar tu propia versión en un entorno seguro y controlado sin problemas. El problema radica en el dominio cdn.polyfill[.]io que debe eliminarse inmediatamente de tus sitios.
Los recursos de terceros están en una posición muy poderosa y, por lo tanto, son un objetivo de alto valor para actores maliciosos. Los CDN que alojan scripts de terceros están sujetos a ataques. En 2021 cdnjs mismo tuvo ciertas vulnerabilidades expuestas.
Nota del editor (2026): La sección de abajo describe la arquitectura original de cside de 2024. cside ahora realiza una monitorización completa de los scripts del lado del cliente — un único fragmento de JavaScript de primera parte que observa lo que los scripts de terceros hacen realmente en los navegadores de visitantes reales, incluidos los payloads condicionales, segmentados por geolocalización y por hora (como este) que muestran código limpio a los escáneres y rastreadores. El proxy de entrega de scripts descrito abajo se retiró a principios de 2026.
Con cside, las dependencias de terceros obtenidas por el navegador ya no se realizan directamente a terceros. En su lugar, viajan a través del motor de detección y optimización de cside. Haciéndolo capaz de detectar ataques altamente dirigidos contra un pequeño porcentaje de usuarios. Si se detecta algo malicioso, lo bloqueamos antes de que se sirva al usuario final.
Nuestro motor de detección es capaz de detectar este cambio en el código real y bloquearlo. Si un sitio que ejecuta cside también hubiera tenido el cdn.polyfill[.]io intentando cargar un script manipulado, no se habría servido al usuario.
Habrías sido alertado de inmediato y habrías sabido en el momento en que esto estaba sucediendo. También guardamos el código del script y lo desofuscamos para que puedas verificar qué hace por ti mismo.
Al momento de escribir este artículo, los feeds de amenazas no marcan este dominio. Esto subraya el hecho de que confiar únicamente en ellos es un negocio arriesgado, como mencionamos aquí.
Una redirección fue solo lo que se capturó. Más tarde explicamos por qué el ataque de Polyfill fue mucho más que un simple ataque de redirección, y en 2025 la OFAC sancionó a Funnull, la empresa detrás del dominio.
Comienza a usar cside gratis y protégete hoy.









