Blog Attacks

Herramientas de session recording en sitios de juego: el riesgo de exfiltración de PII que los operadores no están viendo

Las herramientas de session recording en sitios de juego pueden exfiltrar PII de jugadores si están mal configuradas o comprometidas. Tres formas.

Jun 24, 2026 • 15 min read

Mike Kutlu Client-Side Security Consultant

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre herramientas de grabación de sesiones y riesgo de exfiltración de PII

Las herramientas de session recording son un componente estándar en el stack de analítica de los operadores de iGaming. Hotjar, FullStory y Microsoft Clarity son utilizadas a diario por los equipos de UX y CRO para comprender los recorridos de los jugadores, identificar fricciones en los flujos de registro y optimizar los embudos de depósito. La mayoría de los equipos de cumplimiento aprobaron estas herramientas cuando se incorporaron por primera vez. Lo que los equipos de cumplimiento no revisan de forma rutinaria es qué están haciendo esas herramientas ahora, quién controla el código que se ejecuta bajo su nombre y si alguno de ese código ha sido modificado desde la aprobación original. El informe IBM 2024 Cost of a Data Breach sitúa el coste medio global de una brecha en 4,88 millones de dólares. Para un operador de juego con licencia, hay que añadir la dimensión regulatoria y la cifra aumenta considerablemente.

Qué recogen realmente las herramientas de session recording en sitios de juego

Respuesta rápida: Las herramientas de session recording en sitios de juego recopilan datos mucho más sensibles que en los sitios de comercio electrónico habituales. Las direcciones de correo electrónico de los jugadores, los números de teléfono, los importes de los depósitos, los patrones de retirada y los tokens de sesión están todos potencialmente dentro del alcance de la grabación. El perfil de datos de mayor riesgo de los usuarios de juego hace que cualquier incidente de exfiltración sea significativamente más grave que una brecha de datos de consumidor estándar.

En un sitio de comercio minorista genérico, una herramienta de session recording mal configurada podría capturar el nombre y la dirección de entrega de un usuario. En un sitio de juego, el alcance de lo que una herramienta de grabación puede acceder es considerablemente más sensible.

Durante una sesión típica de un jugador, una herramienta de session recording que se ejecuta con acceso amplio al DOM puede observar:

Direcciones de correo electrónico y números de teléfono introducidos durante el registro o la verificación de cuenta
Fecha de nacimiento y detalles de documentos de identidad enviados para KYC
Importes de depósitos, selecciones de métodos de pago y solicitudes de retirada
Historial de apuestas e importes de las mismas, visibles en el panel de cuenta del jugador
Valores de tokens de sesión presentes en las URL de las páginas o en los campos de formulario
Respuestas a las preguntas sobre juego responsable y comunicaciones de autoexclusión

Con arreglo al Artículo 4 del GDPR, todo lo anterior constituye datos personales. Los datos sobre comportamiento financiero, los datos adyacentes a la salud (estado de juego responsable) y los datos de verificación de identidad conllevan requisitos de protección elevados. Para los operadores de juego sujetos a la jurisdicción de la ICO del Reino Unido, el precedente de aplicación de British Airways es directamente relevante: la ICO impuso una multa de 20 millones de libras tras una brecha que expuso datos de pago y personales de los pasajeros a través de un script de terceros comprometido inyectado en el flujo de reservas.

El contexto del juego amplifica el riesgo de dos formas específicas. En primer lugar, los operadores de juego poseen datos sobre la vulnerabilidad financiera de los jugadores que tienen una sensibilidad particular bajo los requisitos de proporcionalidad y minimización de datos del GDPR. En segundo lugar, las licencias de juego en el Reino Unido, Malta y otras jurisdicciones imponen obligaciones de protección de datos independientes que pueden acumular sanciones del GDPR con sanciones a nivel de licencia.

Las tres formas en que las herramientas de session recording fallan

Respuesta rápida: Las herramientas de session recording fallan de tres formas distintas: mala configuración que expone campos de PII que la herramienta nunca debía capturar; monkey-patching, donde el código inyectado envuelve el grabador legítimo para interceptar su flujo de datos; y herramientas de grabación no autorizadas (shadow recording tools) inyectadas a través de GTM o scripts de afiliados sin ninguna autorización del operador. Los controles de seguridad estándar no detectan ninguno de estos casos de forma fiable.

Mala configuración: la herramienta es legítima, la configuración no lo es

Los proveedores de session recording facilitan controles de enmascaramiento destinados a excluir los campos de formulario sensibles de la captura. En la práctica, estos controles se aplican de forma inconsistente. Un cambio de configuración realizado durante el rediseño de un flujo de registro puede desenmascarar accidentalmente campos que antes estaban excluidos. Una nueva página añadida al embudo de depósito puede no haber heredado las reglas de enmascaramiento aplicadas a las páginas originales.

La herramienta en sí está haciendo exactamente lo que está configurada para hacer. La configuración es el problema, y la mayoría de los equipos de cumplimiento no tienen visibilidad de la configuración de session recording a nivel de campo.

Monkey-patching: la herramienta es legítima, el código no lo es

El monkey-patching es una técnica específica de JavaScript en la que un script inyectado envuelve o reemplaza una función en una biblioteca cargada legítimamente. En el contexto de las herramientas de session recording, esto significa que un script malicioso cargado a través de GTM, un pixel de afiliado o cualquier otro vector de terceros puede interceptar el flujo de datos que fluye a través de Hotjar o FullStory sin el conocimiento de la herramienta de grabación ni ningún cambio visible en el comportamiento de la herramienta.

Desde el exterior, Hotjar sigue ejecutándose. El banner de consentimiento identifica correctamente a Hotjar. Las cookies colocadas por Hotjar están presentes. Nada en las herramientas de monitorización o auditoría estándar señala una anomalía. Pero los datos que se graban ya no van únicamente a los servidores de Hotjar: una función intermedia los está copiando a un endpoint de terceros antes de que lleguen a Hotjar.

Se trata de un ataque técnicamente sofisticado, pero solo requiere la capacidad de inyectar un pequeño fragmento de JavaScript en la página, algo que cualquier contenedor GTM con permisos suficientes puede hacer.

Shadow recording tools: la herramienta nunca fue autorizada

El tercer modo de fallo no requiere modificar ninguna herramienta legítima. Un equipo de marketing añade un script de analítica o mapa de calor de terceros a través de GTM, creyendo que es una herramienta UX estándar. El script incluye funcionalidad de session recording que no fue divulgada en la documentación de la herramienta o que se añadió a la herramienta después de la evaluación inicial. Alternativamente, un script de afiliado comprometido carga un grabador de sesiones como payload secundario.

En cualquiera de los casos, la plataforma de gestión del consentimiento del operador ha concedido consentimiento para una lista nombrada de herramientas. El grabador no divulgado no está en esa lista. El consentimiento para Hotjar no se extiende a un grabador de sesiones no relacionado cargado por un script en el que se confió porque parecía ser otra cosa.

cside detectó más de 300.000 señales de ataque en los sitios monitorizados en el primer trimestre de 2025, y una categoría significativa de estas implica scripts que realizan solicitudes de datos a endpoints que no formaban parte de ninguna integración de proveedor aprobada.

Por qué las herramientas de gestión de consentimiento de cookies no detectan esto

Respuesta rápida: Las plataformas de gestión del consentimiento de cookies operan bajo la suposición de que las herramientas nombradas y con consentimiento se comportan tal y como se describe en el momento del consentimiento. No pueden detectar una versión comprometida de una herramienta con consentimiento, una función interceptada por un script inyectado, ni una herramienta no autorizada cargada como payload secundario. El consentimiento se concede a un nombre de herramienta, no a un binario específico.

Esta es la brecha fundamental que los equipos de cumplimiento suelen descubrir demasiado tarde. Las plataformas de consentimiento de cookies como OneTrust, TrustArc o Cookiebot mantienen una lista de proveedores aprobados. Cuando un usuario consiente las cookies de analítica, el consentimiento se extiende a las herramientas de esa lista. La plataforma de gestión del consentimiento no dispone de ningún mecanismo para verificar que el JavaScript que se ejecuta bajo el nombre de Hotjar es el mismo código que se evaluó cuando se aprobó Hotjar.

La base legal para el tratamiento recogido por las herramientas de session recording en el contexto del juego es típicamente el consentimiento según el Artículo 6(1)(a) del GDPR. Ese consentimiento es específico: cubre los datos recogidos por Hotjar, tal y como se describe al usuario. No cubre una versión con monkey-patching de Hotjar que intercepte el mismo flujo de datos. No cubre un grabador no autorizado cargado junto a Hotjar sin divulgación.

En virtud del principio de minimización de datos del Artículo 5 del GDPR, los operadores son responsables de garantizar que los datos personales no se traten más allá de lo necesario para la finalidad declarada. Una herramienta de session recording que está capturando datos financieros más allá de su alcance divulgado, ya sea por mala configuración o por compromiso, está procesando datos fuera de la finalidad para la que se obtuvo el consentimiento. El operador es el responsable del tratamiento. La responsabilidad recae en el operador, no en el proveedor de la herramienta de grabación.

El Artículo 33 del GDPR exige notificación a la autoridad supervisora en un plazo de 72 horas desde que se tenga conocimiento de una violación de datos personales. Si un operador no tiene visibilidad sobre lo que sus herramientas de session recording están capturando y transmitiendo realmente, no puede tener conocimiento de una brecha hasta después de que se haya producido un daño significativo. La acción de aplicación de la ICO del Reino Unido contra British Airways, que resultó en una multa de 20 millones de libras, implicó exactamente este patrón: un compromiso de script de terceros que pasó desapercibido porque el operador no tenía visibilidad en runtime sobre lo que los scripts de su página de reservas estaban haciendo realmente.

Cómo cside detecta el comportamiento anómalo de los grabadores de sesiones

Respuesta rápida: cside instrumenta cada sesión de usuario real en el browser, observando lo que cada script ejecuta realmente en runtime. Para las herramientas de session recording, esto significa detectar nuevos endpoints de API llamados por el script de grabación, destinos de datos cambiados, alcance de grabación ampliado en páginas no cubiertas anteriormente, y payloads secundarios cargados por la propia herramienta de grabación. Estas señales están disponibles en tiempo real, no a posteriori.

El enfoque de detección que cside utiliza para las anomalías de herramientas de session recording es diferente de lo que proporcionan la gestión del consentimiento o la monitorización a nivel de red. Dado que cside se ejecuta dentro del browser en cada sesión, observa lo que cada script hace realmente, no meramente si está presente.

Para las herramientas de session recording específicamente, las señales que cside monitoriza incluyen:

Nuevas solicitudes de red salientes de una herramienta de grabación conocida: Si Hotjar, que históricamente solo llamaba a endpoints de hog.is, de repente comienza a realizar solicitudes a un dominio desconocido, eso es una alerta de alta prioridad.
Cambio de destino de los datos: Una herramienta de grabación que anteriormente enviaba datos a un endpoint de proveedor conocido y ahora los enruta a una IP o dominio diferente, aunque el dominio parezca plausible, activa una alerta.
Alcance de grabación modificado: Si una herramienta de session recording comienza a capturar valores de campos de formulario en páginas donde anteriormente los enmascaraba, el cambio de comportamiento es observable a nivel de ejecución.
Carga de scripts secundarios: Si una herramienta de session recording comienza a cargar scripts adicionales que anteriormente no estaban asociados a ella, esto es un indicador de monkey-patching o compromiso de la cadena de suministro que afecta a la propia herramienta.
Nuevos scripts que realizan llamadas similares a API de grabación: Un script no clasificado anteriormente como grabador de sesiones que comienza a realizar llamadas consistentes con la captura del DOM y la exfiltración de datos se muestra como una herramienta no reconocida con comportamiento de alto riesgo.

Más allá de la detección, los perfiles de permisos por proveedor de cside dan a los operadores control directo sobre lo que las herramientas de session recording pueden hacer. Los operadores pueden bloquear a un proveedor de session recording el acceso a campos de contraseña, campos de formularios de pago o la Payment Request API a nivel del browser. Esta restricción se aplica incluso si el código del proveedor es comprometido posteriormente: un grabador de sesiones secuestrado no puede acceder a campos a los que se le ha denegado el permiso, independientemente del código malicioso que se inyecte en él.

Este enfoque de comportamiento en runtime significa que la detección no depende de conocer de antemano que una herramienta específica ha sido comprometida. El comportamiento anómalo se marca cuando se produce, no cuando un feed de inteligencia de amenazas publica una regla sobre un compromiso conocido.

Para los equipos de cumplimiento de los operadores de iGaming con licencia, el valor práctico es la capacidad de demostrar una monitorización continua del tratamiento de datos personales por parte de herramientas de terceros. Esto es directamente relevante para las obligaciones de responsabilidad proactiva del Artículo 5(2) del GDPR y para los requisitos de protección de datos desde el diseño del Artículo 25. La documentación de una monitorización activa es un factor material en cómo las autoridades supervisoras evalúan la proporcionalidad de las sanciones cuando se producen incidentes.

Lo que encontramos en el stack de session recording de un operador del Reino Unido

Al desplegar cside en un casino en línea con licencia del Reino Unido a principios de este año, la preocupación inicial del equipo de cumplimiento era sencilla: querían confirmar que Hotjar estaba enmascarando correctamente los campos de formulario en la página de depósito. Lo que la telemetría a nivel de sesión reveló fue más allá. En las primeras 48 horas de monitorización a nivel del browser, cside identificó una segunda herramienta de grabación que se activaba en las páginas de registro y depósito de la que el operador no tenía ningún registro. La herramienta no estaba declarada en la plataforma de gestión del consentimiento, no estaba en la lista de proveedores del operador y no figuraba en ningún DPA que el equipo de cumplimiento tuviera archivado.

Al rastrear el origen del script se identificó un fragmento de seguimiento de afiliados añadido al contenedor GTM ocho meses antes. Dentro de un script dependiente cargado por ese tag de afiliado había un grabador de sesiones: no el producto principal del afiliado, sino un complemento de analítica que se había incluido en una actualización de versión menor del SDK de JavaScript del afiliado. El grabador había estado enviando eventos de sesión, incluyendo valores de campos de formulario parcialmente visibles, a un endpoint que el operador no reconocía durante todo el período de ocho meses.

El equipo de cumplimiento inició una evaluación del Artículo 33 en las 24 horas siguientes a la identificación. Los registros de sesión de cside proporcionaron la marca temporal exacta de la primera ocurrencia, el número de sesiones afectadas y el endpoint de destino, lo que permitió al DPO delimitar la notificación con precisión en lugar de estimarla. El script del afiliado fue eliminado, se notificó al proveedor y el operador actualizó su proceso de gobernanza de scripts para exigir una revisión explícita de cualquier actualización del SDK de afiliados antes de su despliegue. La monitorización que detectó el problema se convirtió entonces en el rastro de evidencias para la evaluación de la brecha.

Resumen

Las herramientas de session recording tienen un perfil de riesgo más elevado en los sitios de juego que en la mayoría de las otras propiedades web, debido a la sensibilidad de los datos accesibles durante las sesiones de los jugadores: documentos KYC, datos de transacciones financieras, comunicaciones sobre juego responsable. Los tres modos de fallo , mala configuración, monkey-patching y shadow recorders, son capaces por igual de exponer esos datos sin activar ninguna alerta en la monitorización de seguridad convencional. Las plataformas de consentimiento de cookies gestionan lo que se les informa, no lo que se está ejecutando realmente. Las herramientas a nivel de red ven que Hotjar se cargó, no lo que envió ni qué interceptó su flujo de datos. La única capa de detección que opera al nivel del ataque es aquella que instrumenta el entorno de ejecución del browser directamente, en cada sesión, y señala las desviaciones de comportamiento en tiempo real. Privacy Watch de cside proporciona esa visibilidad en runtime de lo que las herramientas de session recording están capturando y transmitiendo realmente, mientras que su capacidad de seguridad del lado del cliente aborda los vectores de cadena de suministro e inyección que las herramientas de consentimiento y de red no pueden alcanzar.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sí, con el consentimiento y la configuración adecuados. La base legal es típicamente el consentimiento del usuario según el Artículo 6(1)(a) del GDPR, y los operadores deben asegurarse de que los controles de enmascaramiento excluyan los datos personales y financieros sensibles de la captura. El problema no es la herramienta en sí, sino si está correctamente configurada, si esa configuración se mantiene a lo largo del tiempo y si el código que se ejecuta bajo el nombre de la herramienta es realmente la versión autorizada.

Los datos sobre comportamiento financiero, incluidos los importes de los depósitos, las solicitudes de retirada y los importes de las apuestas, tienen una sensibilidad elevada. Los datos de verificación de identidad enviados para KYC, las comunicaciones sobre juego responsable y cualquier dato adyacente a la salud relacionado con la autoexclusión o las evaluaciones de juego problemático son todos categorías de alto riesgo. Los tokens de sesión, si se capturan, pueden habilitar la apropiación de cuentas sin ningún compromiso adicional de credenciales.

El operador, como responsable del tratamiento de datos, asume la responsabilidad principal. El operador tiene el deber, según el Artículo 28 del GDPR, de garantizar que los encargados del tratamiento operen dentro de los términos acordados, y una obligación según el Artículo 25 de implementar medidas técnicas que garanticen la protección de datos desde el diseño y por defecto. Un compromiso de una herramienta que el operador desplegó se trata como un fallo de los controles técnicos del operador, independientemente de qué parte introdujo el código malicioso.

Según el Artículo 33 del UK GDPR, la notificación a la ICO es necesaria dentro de las 72 horas siguientes a tener conocimiento de una violación de datos personales que suponga un riesgo para los derechos y libertades de las personas. El plazo de 72 horas comienza desde el momento en que se tiene conocimiento, no desde el momento del compromiso. Los operadores sin visibilidad en runtime sobre el comportamiento de las herramientas de session recording pueden no tener conocimiento hasta que la brecha ya esté bien establecida.

No. cside opera como una capa de seguridad complementaria, no como sustituto de la gestión del consentimiento. Las plataformas de gestión del consentimiento gestionan la base legal para el tratamiento. cside gestiona la verificación en runtime de que las herramientas que operan bajo nombres con consentimiento se comportan realmente como se espera. Las dos resuelven problemas diferentes: la gestión del consentimiento responde si tiene permiso para ejecutar una herramienta; cside responde si la herramienta está haciendo lo que se le permitió hacer.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre ataques de scripts de terceros en plataformas de iGaming

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.