Blog Attacks

Contenedores Shadow GTM en plataformas de juego multimarca: qué son y cómo detectarlos

Los contenedores GTM no autorizados ejecutan JavaScript en sus dominios de juego. Cómo aparecen, qué hacen y por qué las herramientas los ignoran.

Jun 25, 2026 • 14 min read

Mike Kutlu Client-Side Security Consultant

Si su plataforma administra 70 o más marcas de casinos, es casi seguro que Google Tag Manager se esté ejecutando en todos los dominios. Y en esos dominios, la cantidad de ID de contenedores activos que su equipo de seguridad ha revisado formalmente es probablemente mucho menor que la cantidad que realmente se ejecuta en los navegadores de los jugadores. Esa brecha es el problema de la sombra GTM. En Q1 2025, cside detectó más de 300.000 señales de ataque en sitios monitoreados, con la ejecución de scripts no autorizados a través de administradores de etiquetas que representan uno de los vectores de ataque más consistentes en el segmento iGaming. Al trabajar con operadores de juegos de azar multimarca, he visto que esta brecha entre los contenedores que los equipos de seguridad conocen y los contenedores que realmente se ejecutan en los navegadores de los jugadores se hace más amplia con cada marca agregada a una cartera.

Qué es realmente un contenedor GTM y por qué es importante para la seguridad

Respuesta rápida: Un contenedor Google Tag Manager es un entorno de ejecución JavaScript cargado en su dominio con acceso completo al DOM, las cookies, el almacenamiento del navegador y las solicitudes de red. Cualquier etiqueta publicada dentro de ese contenedor se ejecuta con los mismos permisos que su propio código propio. Una ID de contenedor no autorizada en su dominio equivale a otorgar acceso de escritura a una parte desconocida en su interfaz de jugador.**

Google Tag Manager está diseñado para permitir que los no desarrolladores implementen JavaScript en sitios web activos sin participación de ingeniería. Esa es su propuesta de valor principal para los equipos de marketing y análisis. Desde el punto de vista de la seguridad, esa misma característica significa que un único ID de contenedor en una plantilla de sitio es un contexto de ejecución abierto para cualquier persona con derechos de publicación sobre ese contenedor. Para ilustrar la magnitud del problema: un único contenedor GTM puede activar 48 o más scripts secundarios, y cada uno de esos scripts puede cargar más dependencias. La cadena de carga del proveedor es un árbol, no una lista, y la mayoría de los equipos de seguridad solo conocen la raíz.

Cuando los equipos de seguridad auditan su superficie de ataque, normalmente se centran en:

Infraestructura del lado del servidor y API
Autenticación y gestión de sesiones.
Scripts de terceros conocidos en el código base

Lo que rara vez se audita es el inventario de contenedores GTM en sí: qué ID de contenedores están activos en qué dominios, quién tiene acceso de publicación y qué etiquetas están configuradas actualmente para activarse. Para una plataforma multimarca con entre 70 y 200 dominios, este inventario casi nunca se mantiene con rigor de seguridad.

El panorama de amenazas ENISA para ataques a la cadena de suministro identifica scripts de terceros y compromisos de dependencia como una de las principales categorías de ataques en aumento. Los contenedores GTM se encuentran en el centro de este riesgo porque el navegador confía en ellos, los controla personal ajeno a la seguridad y son capaces de ejecutar código arbitrario. Para obtener una visión más amplia de cómo las dependencias de terceros se convierten en vectores de ataque antes de que lleguen a su administrador de etiquetas, vale la pena comprender el patrón de ataque de la cadena de suministro por sí solo.

Cómo aparecen los contenedores Shadow GTM en las plataformas de juego

Respuesta rápida: Los contenedores ocultos llegan a los dominios iGaming a través de cuatro rutas principales: los equipos afiliados incorporan sus propios ID de contenedor durante la configuración de la campaña, el personal de la agencia agrega contenedores a los lanzamientos de nuevas marcas sin revisión de ingeniería, credenciales comprometidas que dan a los atacantes acceso a la cuenta GTM y accesos directos de desarrollador donde un ID de contenedor de prueba se promueve a producción y nunca se elimina.**

El término "sombra" no implica necesariamente una intención maliciosa en el punto de inserción. Muchos contenedores ocultos comienzan como decisiones operativas legítimas que nunca se limpiaron ni revisaron. Pero crean contextos de ejecución persistentes y no supervisados que pueden explotarse mucho después de que finalice su propósito original.

Estos son los cuatro orígenes más comunes observados en las plataformas iGaming multimarca:

El contenedor del equipo de afiliados agrega: un equipo de marketing de rendimiento llega a un acuerdo con una red de afiliados que requiere un píxel activado a través de GTM. El afiliado proporciona su propio ID de contenedor. Marketing lo agrega directamente a la plantilla del dominio sin generar un ticket de seguridad. El contenedor se activa en todas las páginas orientadas al jugador a partir de ese momento.
Lanzamientos de nuevas marcas: durante el lanzamiento de una marca de rápido movimiento, una agencia o desarrollador agrega un contenedor GTM temporal al análisis y seguimiento del prototipo. Después del lanzamiento, el contenedor permanece activo porque nadie es dueño de la tarea de desmantelamiento.
Credenciales GTM comprometidas: un actor de amenazas obtiene acceso a un contenedor GTM autorizado existente a través de un contratista de marketing de phishing o un ataque de relleno de credenciales en una cuenta de Google vinculada al contenedor. Publican una nueva etiqueta maliciosa dentro de un contenedor que ya es confiable.
Atajos para desarrolladores: un ID de control de calidad o de contenedor provisional se codifica en una plantilla compartida durante la creación de un sitio. Cuando la plantilla se activa en varios dominios, el contenedor provisional la acompaña y los contenedores provisionales suelen tener un acceso de publicación menos controlado.

En todos estos casos, los registros de red de la plataforma muestran la misma entrada: una solicitud GET exitosa a www.googletagmanager.com/gtm.js?id=GTM-XXXXXXX. El ID del contenedor es visible en la URL, pero no se compara con un inventario aprobado de ninguna manera automatizada.

¿Qué se puede ejecutar dentro de un contenedor no autorizado?

Respuesta rápida: Dentro de un contenedor GTM no autorizado, un atacante puede implementar secuencias de comandos de píxeles que filtran la PII del jugador a redes publicitarias de terceros, inyectar código de redireccionamiento que desvía a los jugadores a sitios de la competencia, instalar skimmers de campos de formulario en páginas de depósito, ejecutar seguimiento oculto de afiliados que secuestra la atribución de conversión o cargar cargas útiles maliciosas adicionales desde dominios externos, todo sin huella del lado del servidor.**

La gama de cargas útiles que puede entregar un contenedor GTM está limitada únicamente por lo que JavaScript puede hacer en el navegador. En la práctica, cuatro categorías de carga útil son las más relevantes para las plataformas iGaming.

Primero, píxeles de seguimiento de sombras. Un contenedor puede activar eventos de píxeles de Facebook, TikTok o LinkedIn con ID de píxeles que no sean propios. Para un operador de juegos de azar que no puede anunciarse legalmente en estas plataformas, esto es tanto una violación de GDPR como una violación de la política publicitaria, y es posible que el operador no esté completamente consciente de lo que está sucediendo.

En segundo lugar, los scripts de redireccionamiento del jugador. Como se detalla en el contexto del secuestro del recorrido del jugador, una etiqueta HTML personalizada dentro de un contenedor GTM puede interceptar eventos de clic en botones de depósito, formularios de inicio de sesión o CTA de bonificación y redirigir a los jugadores a un destino de la competencia. El sistema de activación integrado del contenedor hace que sea sencillo limitar esto a páginas, dispositivos o segmentos de usuarios específicos.

En tercer lugar, forme skimmers de campo. En páginas de depósito o KYC donde los jugadores ingresan detalles de tarjetas o documentos de identidad, una etiqueta GTM puede adjuntar detectores de eventos a los campos de entrada y filtrar los valores ingresados a un punto final remoto. Este es un equivalente en la capa del navegador de los ataques de estilo Magecart, ejecutados sin tocar el código del lado del servidor.

Cuarto, scripts del cargador. Una etiqueta de contenedor puede cargar archivos JavaScript externos adicionales, convirtiendo efectivamente el contenedor GTM en un cuentagotas de carga útil de primera etapa. Es posible que el dominio que sirve la carga útil adicional no esté en ninguna lista de bloqueo en el momento de la carga, lo que hace que la detección de la capa de red no sea confiable.

Por qué las herramientas existentes pasan por alto la actividad del contenedor oculto

Respuesta rápida: Las herramientas de monitoreo de red y las soluciones de capa CDN verifican que GTM.js se haya cargado correctamente desde la infraestructura de Google. No ven qué ID de contenedor estaban activos, qué etiquetas se activaron dentro de esos contenedores o qué JavaScript ejecutaron esas etiquetas después de la carga. La superficie de ataque reside completamente dentro del tiempo de ejecución JavaScript del navegador, una vez completada la transacción de red.**

Esta es la brecha arquitectónica que hace que los contenedores en la sombra GTM sean un riesgo persistente y poco abordado. La siguiente tabla asigna cada herramienta común a lo que puede y no puede observar en un escenario de sombra GTM.

Categoría de herramienta	Lo que PUEDE ver	Lo que NO PUEDE ver
Content Security Policy (CSP)	Si los scripts se cargan desde dominios permitidos	Qué ID de contenedor se está ejecutando; qué código se ejecuta dentro de un dominio permitido
Web Application Firewall (WAF)	Encabezados y cuerpos de solicitud/respuesta HTTP	JavaScript ejecutándose dentro de una pestaña del navegador después de cargar la página
Análisis del tráfico de red.	Ese `gtm.js` cargado; ID del contenedor en la URL de solicitud	Qué etiquetas se dispararon dentro del contenedor; qué ejecutaron esas etiquetas; recursos externos cargados después de la inicialización
Herramientas de desarrollo del navegador (manual)	Comportamiento completo en tiempo de ejecución en un único dominio en un momento dado	Comportamiento en tiempo de ejecución en entre 70 y 200 dominios de forma continua; cambios de etiquetas publicados dinámicamente

En nuestro seguimiento de las plataformas de juego multimarca, la brecha de identificación de contenedores es consistentemente más amplia de lo que esperan los operadores. Los equipos de seguridad suelen tener registros formales de menos de la mitad de los ID de contenedores que observamos ejecutándose en sus carteras de dominios. La discrepancia crece con la escala de la plataforma y crece más rápido de lo que la mayoría de los procesos de gobernanza pueden rastrear.

La divulgación de Sansec polyfill.js en junio de 2024, que afectó a más de 490.000 sitios, es un paralelo instructivo. Cada uno de esos sitios había cargado lo que parecía ser una biblioteca legítima y ampliamente utilizada desde una CDN confiable. Los registros de red mostraron una respuesta limpia y exitosa. La carga útil maliciosa solo se hizo visible cuando alguien miró lo que realmente estaba haciendo JavaScript dentro del navegador. Los contenedores Shadow GTM siguen el mismo patrón: la capa de red informa una carga limpia de la infraestructura de Google, y todo lo que sigue es invisible sin la instrumentación de la capa del navegador.

Cómo identifica cside cada contenedor y cada script en todos los dominios

Respuesta rápida: cside instrumenta 100% de sesiones de usuarios reales en la capa del navegador, lo que significa que ve cada ID de contenedor GTM cargado en cada dominio de su cartera, cada etiqueta que se activa dentro de cada contenedor y cada script que esas etiquetas ejecutan o cargan. Cuando aparece una nueva ID de contenedor o un contenedor conocido ejecuta un nuevo tipo de carga útil, cside genera una alerta en tiempo real con el contexto de ejecución completo.**

Para plataformas multimarca, cside proporciona un inventario de scripts unificado en toda la cartera de dominios. En lugar de requerir una auditoría manual de cada cuenta GTM, la plataforma muestra la realidad del tiempo de ejecución: lo que realmente se está ejecutando en los navegadores de los jugadores, en este momento, en cada dominio.

Capacidades específicas relevantes para la detección de sombras GTM:

Enumeración de ID de contenedor: cside identifica cada ID de contenedor GTM distinto que se observa cargando en todos los dominios monitoreados, marcando cualquiera que no estuviera presente en la instantánea del inventario anterior.
Mapeo de ejecución de etiquetas: para cada contenedor, cside asigna qué etiquetas HTML personalizadas y etiquetas de carga de scripts se activan, y con qué dominios externos contactan.
Alerta de nueva carga útil: cuando un contenedor que ha sido observado previamente comienza a ejecutar un nuevo patrón de secuencia de comandos o a ponerse en contacto con un nuevo dominio externo, se genera una alerta de inmediato.
Correlación entre dominios: si un ID de contenedor oculto aparece en varios dominios simultáneamente, cside identifica el patrón, lo cual es útil para detectar ataques coordinados durante lanzamientos de nuevas marcas o lanzamientos de campañas de afiliados.
Cobertura de sesión 100%: debido a que cside instrumenta cada sesión, no una muestra, captura condiciones de ataque que solo se activan para segmentos de usuarios, dispositivos o ubicaciones geográficas específicas.
Perfiles de permisos por proveedor: una vez que se identifica un contenedor oculto y se controla, los operadores pueden asignar a cada proveedor cargado con GTM su propio perfil de permiso con capacidades controlables específicas. Esto significa que se puede restringir el acceso de una etiqueta de análisis cargada a través de GTM a los campos de pago, a la API de solicitud de pago o al almacenamiento local, incluso si el código del proveedor se ve comprometido posteriormente.

cside no depende de la supervisión basada en proxy ni del muestreo pasivo del tráfico de red. La instrumentación se ejecuta dentro del navegador, dándole el mismo punto de vista que los scripts que monitorea.

Lo que reveló la primera sesión de seguimiento

Cuando realizamos la primera sesión de monitoreo de cside en una importante plataforma europea de juegos de azar en línea multimarca a principios de este año, una de las primeras cosas que apareció en el tablero fue un conjunto de ID de contenedores GTM que nadie en el equipo de seguridad pudo explicar. La plataforma operaba más de 70 marcas de casinos y apuestas deportivas, y el equipo de seguridad creía que tenían un control razonable sobre su propiedad de administrador de etiquetas. Lo que mostró el inventario de la capa del navegador fue diferente. Durante el primer día de monitoreo del dominio de marca inicial, cside identificó múltiples ID de contenedores activos que el equipo de marketing había agregado sin pasar por ningún proceso de revisión de seguridad. Los contenedores se habían estado cargando en páginas en vivo orientadas al jugador durante meses.

El equipo de seguridad no había sido notificado porque el equipo de marketing no sabía que era necesaria una notificación. No había ningún proceso establecido que conectara los cambios del administrador de etiquetas con la supervisión de la seguridad. Cada contenedor se agregó en el contexto de una campaña legítima o un acuerdo de afiliado y simplemente nunca se revisó ni se eliminó. Dentro de las 24 horas posteriores al inicio de la sesión de monitoreo, la plataforma tuvo su primer inventario completo de tiempo de ejecución de cada contenedor que se ejecutaba en el dominio de prueba, y estaba en marcha un plan de remediación para los contenedores no revisados. El comentario de la plataforma después de la sesión: esta era la primera vez que veían su conjunto completo de secuencias de comandos de la capa del navegador en un solo lugar.

Resumen

Los contenedores Shadow GTM son una falla de gobernanza que crea una exposición a la seguridad. Los contenedores llegan a través de canales operativos normales, se cargan desde una infraestructura confiable de Google y son invisibles para todas las herramientas de monitoreo que no se ejecutan dentro del navegador. Para las plataformas multimarca, el único enfoque confiable es la instrumentación continua de la capa del navegador que mantiene un inventario en vivo de cada ID de contenedor, cada etiqueta y cada script que se ejecuta en toda la cartera de dominios. Una auditoría puntual siempre estará desactualizada cuando se agregue el siguiente contenedor. La capacidad de seguridad del lado del cliente de cside proporciona este inventario continuo y, para obtener más detalles sobre cómo se entregan las cargas útiles de redireccionamiento a través de estos contenedores, consulte nuestra guía para ataques de redireccionamiento de scripts maliciosos en plataformas de casino.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Un contenedor sombra GTM es cualquier ID de contenedor que se ejecuta en su dominio y que no ha sido revisado ni aprobado formalmente por su equipo de seguridad o ingeniería. Técnicamente, es idéntico a un contenedor autorizado: se carga desde la infraestructura de Google y se ejecuta con los mismos permisos del navegador. La diferencia es enteramente de gobernanza. Su equipo de seguridad no sabe que existe y no ha validado qué etiquetas se publican en él.

La auditoría de sus propias cuentas GTM le muestra qué ID de contenedor controla y qué etiquetas están configuradas dentro de ellos. No muestra los ID de contenedores agregados por terceros que se incrustaron directamente en las plantillas de su sitio, ni muestra qué está ejecutando realmente un contenedor comprometido en producción. La supervisión de la capa del navegador es la única forma de ver el comportamiento del tiempo de ejecución en todos los dominios en tiempo real.

La escala y el ritmo de las operaciones multimarca crean las condiciones. Cada lanzamiento de marca, acuerdo de afiliado o participación de agencia puede introducir una nueva ID de contenedor. Sin un proceso de gobernanza de scripts centralizado que enrute todos los cambios del administrador de etiquetas a través de una revisión de seguridad, los ID de los contenedores se acumulan más rápido de lo que las auditorías pueden rastrearlos. Cuando cside muestra por primera vez el inventario de contenedores en tiempo de ejecución para una plataforma multimarca, es común encontrar ID de contenedores activos que nadie del equipo de seguridad puede contabilizar.

CSP es una defensa valiosa pero no resuelve el problema de la sombra GTM. Debido a que GTM se carga desde www.googletagmanager.com, que debe estar en la lista de permitidos de CSP para que GTM funcione, cualquier ID de contenedor que se cargue desde ese dominio pasa la validación de CSP. CSP no puede distinguir entre un contenedor autorizado y un contenedor oculto que se carga desde el mismo dominio confiable.

Los pasos inmediatos son: bloquear el ID del contenedor para que no se active en sus dominios eliminándolo de la plantilla del sitio o de la configuración de publicación del contenedor principal, luego investigue el origen (qué equipo lo agregó, cuándo y mediante qué proceso). Revise el historial de etiquetas del contenedor oculto para identificar qué ha estado ejecutando. Conserve los registros para cualquier obligación de presentación de informes reglamentarios o forenses. Luego actualice su proceso de gobernanza de scripts para requerir una revisión de seguridad antes de agregar cualquier ID de contenedor nuevo a cualquier dominio de la cartera.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre ataques de scripts de terceros en plataformas de iGaming

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.