Blog

Escáner OpenClaw para Scripts de Terceros

Un escáner gratuito y de código abierto que inventaría scripts de terceros, detecta fingerprinting, audita cabeceras de seguridad y cookies, y señala la exposición a PCI DSS en páginas de pago. Ejecuta una auditoría rápida de 30 segundos para descubrir qué código se ejecuta en el navegador de tus usuarios.

Mar 18, 2026 • 7 min read

Simon Wijckmans Founder & CEO

Portada del blog - Escáner gratuito de sitios para scripts de terceros, fingerprinting y riesgos PCI

Hemos creado una skill gratuita de escáner de seguridad web para OpenClaw

La mayoría de los propietarios de sitios web no tienen idea de qué código se ejecuta en el navegador de sus usuarios. Los scripts de terceros de plataformas de analítica, redes publicitarias, widgets de chat y procesadores de pago se ejecutan con acceso completo al DOM, pero los equipos de seguridad rara vez mantienen un inventario de lo que realmente se carga.

Hemos creado el cside Site Scanner para ofrecer una herramienta gratuita que te ayude a entender el problema. Es una herramienta gratuita y de código abierto que audita los scripts de terceros, las cabeceras de seguridad y la exposición a PCI DSS de cualquier sitio web en unos 30 segundos. Disponible en ClawHub, funciona con cualquier agente de IA y ofrece a los equipos de seguridad un punto de partida claro: ¿qué hay en mi sitio ahora mismo?

Los resultados suelen sorprender a la gente.

El problema: tu sitio web ejecuta código que tú no escribiste

Un sitio de comercio electrónico promedio carga entre 30 y 50 scripts de terceros: analítica, publicidad, widgets de chat, tag managers, procesadores de pago y herramientas de reproducción de sesiones. Cada uno tiene acceso completo a tu DOM. Pueden leer entradas de formularios, establecer cookies, hacer fingerprinting de dispositivos y exfiltrar datos.

La mayoría de los equipos de seguridad no tienen un inventario de lo que se ejecuta en sus páginas. Revisan su propio código con cuidado, pero los scripts de terceros eluden ese proceso por completo. Un equipo de marketing añade un nuevo píxel de analítica a través de Google Tag Manager y, de repente, nuevo código se ejecuta en el navegador de cada usuario: código que nunca pasó por el control de versiones ni por el pipeline de CI/CD.

Este no es un riesgo teórico. Los ataques Magecart han comprometido datos de pago en grandes sitios de comercio minorista inyectando código malicioso a través de scripts de terceros comprometidos. British Airways fue multada con una cuantiosa sanción después de que atacantes modificaran un script de terceros para robar los datos de tarjetas de pago de cientos de miles de clientes.

Qué hace el escáner

Apúntalo a cualquier URL y auditará en seis categorías.

Inventario de scripts de terceros

El escáner identifica cada script externo cargado en la página, agrupándolos por dominio y categorizándolos por tipo: analítica, publicidad, reproducción de sesiones, procesamiento de pagos, CDN y más. Obtienes una imagen completa de quién tiene código ejecutándose en el navegador de tus usuarios.

Detección de fingerprinting

Los scripts de terceros hacen fingerprinting de usuarios con más frecuencia de lo que los propietarios de sitios se imaginan. El escáner comprueba:

Fingerprinting de canvas
Consultas WebGL
Análisis de AudioContext
Enumeración de fuentes
Recopilación de propiedades del navegador
Bibliotecas de fingerprinting conocidas como FingerprintJS

Bajo el RGPD y la CCPA, el fingerprinting puede considerarse recopilación de datos personales. Si un script de terceros lo hace en tus páginas, tú eres el responsable, aunque no supieras que estaba ocurriendo.

Análisis de cabeceras de seguridad

El escáner evalúa las cabeceras de seguridad que protegen contra ataques comunes:

Cabecera	Propósito
Content-Security-Policy (CSP)	Controla qué scripts pueden ejecutarse
HTTP Strict Transport Security (HSTS)	Impone conexiones HTTPS
X-Frame-Options	Previene ataques de clickjacking
Permissions-Policy	Restringe el acceso a funciones del navegador
Subresource Integrity (SRI)	Verifica la integridad de scripts de terceros

Auditoría de cookies

Cada cookie se analiza en cuanto a sus atributos de seguridad: origen propio frente a terceros, flag Secure, flag HttpOnly y configuración SameSite. Las cookies mal configuradas pueden crear vulnerabilidades de secuestro de sesión y falsificación de solicitudes entre sitios.

Señalización de riesgos PCI DSS 4.0.1

El Requisito 6.4.3 de PCI DSS 4.0 exige que las organizaciones inventaríen y justifiquen todos los scripts en páginas de pago. El escáner detecta formularios de pago e identifica qué scripts de terceros tienen acceso al DOM de esos elementos, facilitando el cumplimiento normativo.

Rastreo de cadenas de tag managers

El escáner realiza una comparación antes y después: inventaría los scripts en la carga de la página y vuelve a comprobarlos tras la ejecución de los tag managers. La diferencia muestra tu superficie de ataque sin auditar: scripts que entraron a través de GTM u otros tag managers sin pasar por revisión de código.

Calificación de seguridad

Todos los hallazgos se consolidan en una única calificación de la A a la F, ponderada en ocho factores. Esto proporciona un único número para comunicar el riesgo a los responsables y hacer un seguimiento de las mejoras a lo largo del tiempo.

Por qué importa la detección de tag managers

Google Tag Manager aparece en aproximadamente el 30% del millón de sitios web más visitados. Permite a los equipos de marketing añadir scripts sin esperar a un despliegue de ingeniería. Esa misma flexibilidad crea el mayor punto ciego en muchos programas de seguridad.

Los scripts cargados a través de GTM se saltan la revisión de código. No aparecen en tu base de código. No pasan por tu pipeline de CI/CD. Se ejecutan en el navegador de tus usuarios con acceso completo al DOM, y nadie del equipo de ingeniería los aprobó.

Un contenedor GTM comprometido o un píxel de marketing malicioso puede inyectar código dañino en todo tu sitio. El escáner hace visible esta superficie de ataque oculta.

Por qué importa la detección de fingerprinting

El fingerprinting de dispositivos crea un identificador único para los usuarios basado en las características del navegador, las propiedades del hardware y las fuentes instaladas. A diferencia de las cookies, los usuarios no pueden eliminar fácilmente las huellas digitales, y muchos ni siquiera saben que se les está rastreando de esta manera.

Las implicaciones para la privacidad son serias. Los reguladores tratan cada vez más el fingerprinting como recopilación de datos personales que requiere consentimiento explícito. Si un script de analítica o publicidad hace fingerprinting de los visitantes de tu sitio sin la divulgación adecuada, heredas ese riesgo de cumplimiento normativo.

El escáner identifica qué scripts utilizan técnicas de fingerprinting y qué métodos emplean, permitiéndote decidir qué terceros tienen cabida en tus páginas.

Limitaciones del escáner

El escáner tiene limitaciones reales que conviene entender. Carga una página una vez, en un navegador, desde una ubicación: una instantánea, no una monitorización continua.

No detecta:

Scripts que varían por usuario; las herramientas de ad tech y pruebas A/B sirven código diferente a distintos usuarios, dispositivos y geografías
Ataques intermitentes; skimmers de Magecart que solo se activan en el checkout para rangos de IP o user agents específicos
Inyección posterior a la carga; scripts que cargan código adicional de forma dinámica según la interacción del usuario
Cambios en el tag manager; los contenedores GTM pueden actualizarse en cualquier momento sin un despliegue

Ningún escáner puede observar lo que se ejecuta en el navegador de tus usuarios reales a lo largo del tiempo. La brecha entre una auditoría puntual y la monitorización continua es donde se esconden los ataques.

Dónde entra cside

cside cierra esa brecha mediante la monitorización continua de seguridad del lado del cliente. En lugar de escanear una sola vez, cside actúa como proxy de los scripts antes de que lleguen al navegador, inspeccionando el código en tiempo de ejecución a través de todos los usuarios y sesiones.

Esto detecta lo que las instantáneas no capturan: scripts que se comportan de forma diferente para ciertos usuarios, código que cambia después de la revisión y compromisos de la cadena de suministro que afectan a condiciones específicas. Los ataques reales no esperan a tu próxima auditoría programada.

Pruébalo

El escáner es gratuito y de código abierto en ClawHub:

npx clawhub@latest install cside-site-scanner

Luego pídele a tu agente de IA que escanee cualquier sitio.

Si los resultados generan preocupación, estamos aquí para ayudarte.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El escáner carga la página en un navegador sin interfaz gráfica y registra cada solicitud de script externo y cada script en línea ejecutado, agrupándolos por dominio y propósito. También realiza un inventario posterior al tag manager para capturar los scripts inyectados por GTM o sistemas similares, de modo que puedas ver tanto el código cargado en el arranque como el añadido por el tag manager.

El escáner captura los scripts observados durante la carga de la página y la fase inmediata de ejecución del tag manager, pero no monitoriza de forma continua el código inyectado posteriormente por interacciones del usuario o disparadores basados en tiempo. Para la inyección posterior a la carga es necesaria una monitorización en tiempo de ejecución a través de sesiones de usuarios reales.

Busca APIs y patrones comunes de fingerprinting: llamadas a canvas y WebGL, análisis de AudioContext, enumeración de fuentes, recopilación de propiedades del navegador y bibliotecas conocidas como FingerprintJS. El escáner informa qué técnicas se observaron y qué scripts las ejecutaron, para que puedas evaluar el riesgo de privacidad y cumplimiento normativo.

Sí. El escáner señala los formularios de pago e identifica los scripts de terceros con acceso al DOM de esos elementos, lo que contribuye al cumplimiento del Requisito 6.4.3 para inventariar y justificar todos los scripts en páginas de pago. Proporciona evidencia que puedes utilizar en auditorías, aunque se recomienda una monitorización continua para una garantía de cumplimiento completa.

El escáner ofrece una instantánea puntual desde una ubicación y un navegador, por lo que no detecta variaciones por usuario, ataques intermitentes ni código inyectado después de la carga o activado por interacciones. Se requiere una monitorización continua en tiempo de ejecución a través de usuarios y sesiones reales para detectar comportamientos cambiantes o condicionales.

La detección de tag managers compara el inventario de scripts antes y después de que el tag manager se ejecute, para revelar los scripts añadidos por herramientas de marketing en lugar de por el equipo de ingeniería. Esto es fundamental porque los scripts añadidos mediante tag managers suelen eludir la revisión de código, creando una gran superficie de ataque sin auditar.

Ejecutar el escáner contra sitios de tu propiedad es seguro; se comporta como una carga estándar del navegador y respeta el robots.txt para interacciones de tipo crawler. El escáner de código abierto puede ejecutarse localmente para que los equipos controlen si los resultados se almacenan o transmiten; revisa la configuración de despliegue y retención de datos si utilizas una instancia alojada.

El escáner evalúa CSP, HSTS, X-Frame-Options, Permissions-Policy y comprueba la Integridad de Subrecursos (SRI) en scripts externos. También audita las cookies en cuanto a su origen (propias frente a terceros), y los atributos Secure, HttpOnly y SameSite, destacando las configuraciones incorrectas que aumentan el riesgo de secuestro de sesión o CSRF.

Puedes ejecutar el escáner de código abierto como parte de un trabajo de CI que pruebe URLs de staging para detectar scripts de terceros recién añadidos antes de que lleguen a producción. Como el escáner es rápido, encaja en comprobaciones previas al despliegue o auditorías nocturnas; para una cobertura completa, combínalo con monitorización en tiempo de ejecución para detectar cambios tras el despliegue.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo detener el account sharing en plataformas de ecommerce: detectar membresías compartidas sin bloquear compradores del mismo hogar

El account sharing en ecommerce toma tres formas distintas: uso compartido de membresías de suscripción, uso compartido de credenciales en programas…

Cómo Detectar y Bloquear Agentes de IA Desconocidos en Tu Sitio Web

Los agentes de IA desconocidos no tienen user-agent e ignoran robots.txt. Aprende qué señales del navegador delatan a los agentes no declarados y cómo actuar.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre requisitos de seguridad de scripts de la UK Gambling Commission

Condiciones de licencia de la UK Gambling Commission y seguridad de scripts de terceros: lo que los operadores necesitan saber

El LCCP de la UKGC exige un entorno técnico seguro. Los scripts de terceros que redirigen jugadores o exfiltran datos crean exposición directa.

Account sharing en SaaS B2B: cómo aplicar la licencia por puestos sin bloquear a equipos legítimos

El sharing de puestos en SaaS B2B es la forma de abuso de credenciales más poco detectada.

Cómo Bloquear la Automatización con Playwright en Tu Sitio Web

Playwright ejecuta navegadores reales que en la capa de red son idénticos a los humanos. Aquí te explicamos cómo detectarlo y por qué fallan robots.txt y el bloqueo de IP.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles de seguimiento ocultos y riesgo publicitario en sitios de juego

Shadow tracking pixels en sitios de juego: el problema de cumplimiento de GDPR y publicidad que los operadores no pueden ver

Los pixels no autorizados de Facebook, TikTok o LinkedIn en sitios de juego activan responsabilidad GDPR y de plataformas a la vez.

Cómo detener el account sharing en programas de fidelización de aerolíneas: detectar el mal uso de credenciales sin marcar a los viajeros frecuentes

Las cuentas de viajero frecuente se comparten en tres patrones distintos, cada uno con diferentes implicaciones de ingresos y cumplimiento.

Cómo Bloquear PerplexityBot en Tu Sitio Web

PerplexityBot rastrea tu contenido para los resultados de búsqueda con IA. Aquí te explicamos cómo bloquearlo, por qué generó críticas por derechos de autor y en qué se diferencia Perplexity Shopper.

Contenedores Shadow GTM en plataformas de juego multimarca: qué son y cómo detectarlos

Los contenedores GTM no autorizados ejecutan JavaScript en sus dominios de juego. Cómo aparecen, qué hacen y por qué las herramientas los ignoran.

Cómo detectar y prevenir el account sharing sin perjudicar a los usuarios legítimos

La mayor objeción a la detección de account sharing son los falsos positivos: ¿qué pasa si marcamos a un suscriptor que simplemente usa varios…