Blog Attacks

El ataque de Polyfill[.]io - Mucho más que un simple ataque de redirección

Una redirección fue solo lo que se capturó. Con el control de un script de terceros en medio millón de sitios, era posible algo mucho peor. Aquí está por qué importó.

Dec 06, 2024 • 6 min read

Simon Wijckmans Founder & CEO

Cuando nosotros y otros medios informamos sobre el ataque de Polyfill, las reacciones fueron sorprendentemente moderadas. Esto pudo deberse al resultado visible: una simple redirección a sitios web oscuros. (Para la cronología completa, consulta nuestra cronología completa de Polyfill.io.)

Pero, como señalamos en nuestro análisis post-mortem, las consecuencias potenciales son mucho más graves:

"Aquí el actor malicioso optó por redirigir a los usuarios únicamente a sitios web de apuestas y contenido adulto; sin embargo, podría haber ocurrido algo mucho peor. Escuchar las pulsaciones de teclas en un pequeño porcentaje de sesiones según la geolocalización y la hora del día, inyectar malware, minar criptomonedas o reescribir botones en sitios para redirigir a portales de pago suplantados.

Desde una simple redirección hasta la captura de datos de tarjetas de crédito, los ataques de JavaScript del lado del cliente pueden hacerlo todo. El ataque de Polyfill podría haber tenido un impacto negativo mucho mayor; en cierto modo, tuvimos suerte. Que esto sirva de recordatorio: debemos monitorear nuestros scripts del lado del cliente."

Lo cierto es que probablemente ocurrió mucho más.

Nueva información sobre la transferencia del dominio

El dominio que alojaba el script fue vendido a una empresa operada desde China llamada Funnull. Aproximadamente seis semanas después, comenzaron las redirecciones y el incidente fue reconocido como un ataque. La empresa de seguridad Sansec publicó su análisis forense del payload de redirección. (El CVE-2024-38526 relacionado se asignó a pdoc, la herramienta de documentación de Python que cargaba polyfill.io, no al incidente en su conjunto.)

Recientemente, una fuente no revelada reveló que el dominio polyfill[.]io —en el centro del ataque— fue vendido por una "suma de dinero que cambió una vida".

El script de Polyfill fue creado originalmente por Andrew Betts y Jake Champion. Andrew Betts publicó un tuit (ahora eliminado) en el que reconocía la venta y admitía no haber tenido ninguna influencia sobre ella.

Otro usuario de X, John Schulz, descubrió un anuncio (ahora eliminado) de Funnull en el que se nombraba a Jake Champion como la persona que les transfirió el dominio:

Took me a bit to find it, but here's the announcement pic.twitter.com/9sdSboOu7l
— John Schulz (@JFSIII) February 24, 2024

Un tuit ahora eliminado de Jake Champion confirma que él personalmente transfirió el dominio a Funnull.

Posibles escenarios catastróficos

El ataque fue descubierto porque los usuarios eran redirigidos a sitios de apuestas y contenido adulto. Sin embargo, si el dominio fue vendido por una "suma que cambió una vida", parece poco probable que se haya utilizado únicamente para un exploit tan básico.

Durante semanas, este ataque afectó a medio millón de sitios web, entre ellos Intuit, The Guardian, Hulu y The Verge.

A continuación se presentan algunos posibles escenarios catastróficos que podrían haberse ejecutado tomando el control de un único archivo JavaScript de terceros.

Ataque DDoS

Los atacantes pueden recopilar direcciones IP de visitantes de medio millón de sitios web y aprovechar sus máquinas para enviar solicitudes a cualquier objetivo, creando uno de los mayores ataques DDoS de la historia. Esto puede interrumpir el funcionamiento de grandes instituciones, tanto privadas como gubernamentales, durante horas.

Ataque a Workday

Los atacantes pueden engañar a los empleados para que compartan sus credenciales de Workday, obteniendo acceso no autorizado a sistemas internos o simplemente exfiltrando su token de sesión. Esto puede resultar en:

Manipulación de nóminas
Robo de registros de empleados
Acceso a datos sensibles de recursos humanos
… y más

Reescribir cualquier contenido de una página web

En sitios de noticias infectados, los atacantes pueden reescribir contenido para:

Provocar reacciones o pánico
Manipular la opinión pública
Cambiar narrativas sobre temas controvertidos
… y más

Captura de datos personales y detalles de tarjetas de crédito

Los ataques del lado del cliente suelen recopilar Información de Identificación Personal (PII) y datos de pago. Con más de medio millón de sitios web afectados, incluidos muchos con formularios de pago, los atacantes pueden robar datos de pago de forma masiva.

Infectar otros sitios web

Un sitio infectado puede alojar scripts maliciosos, permitiendo que el ataque se propague. Esta táctica complica los esfuerzos de detección y contención. Esta técnica se utiliza habitualmente en brechas del lado del cliente, como se vio en Schrwaa[.].com (enlace seguro a un artículo).

Minería de criptomonedas en el navegador

El cryptojacking —forzar los navegadores de los usuarios a minar criptomonedas— es una táctica bien documentada. Si se ejecuta en medio millón de sitios web de alto tráfico, los atacantes pueden obtener enormes beneficios gracias a millones de visitantes diarios. Consulta los ataques de BrowseAloud y Copay event-stream para ver ejemplos recientes.

Un escenario combinado

Es fundamental subrayar que estos escenarios no son aislados: pueden ocurrir simultáneamente. Las redirecciones ya sucedieron, pero los demás escenarios también pueden haber estado activos al mismo tiempo.

Sin monitoreo del lado del cliente, es imposible saberlo.

Para ser precisos sobre la evidencia: el único payload que los investigadores capturaron y decodificaron fue la redirección. Una desofuscación independiente de SecureLayer7 no encontró pruebas capturadas de robo de credenciales, registro de pulsaciones de teclas ni exfiltración de PII, y la divulgación forense de Sansec documentó ese mismo comportamiento limitado a la redirección. Por lo tanto, los escenarios anteriores son capacidad, no eventos confirmados — pero como el script se reconstruía en cada petición, una variante de robo de datos dirigida nunca aparecería en un escaneo público. Redirección: probada. Robo silencioso y dirigido: plausible por diseño, nunca capturado.

Esta incertidumbre es la razón por la que creamos cside. Aunque no podemos ver todos los ataques a nivel global, monitoreamos los scripts de terceros en tu sitio para detectar y prevenir ataques como este antes de que perjudiquen a tus usuarios.

Esperemos que la redirección haya sido lo peor de todo. Pero el hecho de que algo mucho peor podría haber ocurrido es razón suficiente para actuar. En 2025, la OFAC sancionó a Funnull por la operación más amplia detrás de este dominio, un recordatorio de que quienes lo gestionaban no eran aficionados. Protege tu sitio en segundos, de forma gratuita, registrándote hoy.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El comportamiento que se capturó y decodificó fue una redirección a sitios de estafa y apuestas. El análisis independiente del payload recuperado solo encontró lógica de redirección. Pero el servicio generaba código por cada petición, así que no se pudo descartar una variante de robo de datos dirigida a visitantes concretos, y no aparecería en los escaneos públicos. Sin monitorización del lado del cliente, un propietario de sitio no tenía forma de saber qué se ejecutaba para sus usuarios.

Un script de primera parte puede leer y reescribir cualquier cosa en la página que lo carga, incluidos formularios, cookies, tokens de sesión y contenido. Con el control de un script en cerca de medio millón de sitios, un operador podría intentar formjacking, robo de credenciales, manipulación de contenido, cryptojacking o DDoS a gran escala. La política del mismo origen lo limita a cada página en la que se ejecuta, no a tus otras pestañas.

El mantenedor Jake Champion transfirió el dominio polyfill.io y su repositorio a Funnull a principios de 2024. Una fuente no revelada describió la venta como una suma de dinero que cambia una vida, pero nunca se ha publicado ninguna cifra confirmada.

Las comprobaciones basadas en el origen y las revisiones de proveedor pierden el comportamiento en tiempo de ejecución. La señal fiable es qué cargan y qué hacen realmente los scripts en el navegador. La monitorización runtime marca redirecciones, nuevos sub-scripts y accesos a datos inesperados cuando usuarios reales cargan la página.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.