Skip to main content
Blog
Blog Attacks

Shadow tracking pixels en sitios de juego: el problema de cumplimiento de GDPR y publicidad que los operadores no pueden ver

Los pixels no autorizados de Facebook, TikTok o LinkedIn en sitios de juego activan responsabilidad GDPR y de plataformas a la vez.

Jun 26, 2026 16 min read
Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles de seguimiento ocultos y riesgo publicitario en sitios de juego
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Los operadores de juego con licencia saben que no pueden anunciarse en Facebook, TikTok o LinkedIn. Las políticas de las plataformas prohíben la publicidad de juego en la mayoría de las jurisdicciones sin exenciones específicas, e incluso donde existen exenciones, la segmentación de adultos con consentimiento está estrictamente regulada. Lo que muchos operadores no saben es que los pixels de esas mismas plataformas pueden estar activándose ya en sus sitios web, colocados por scripts de afiliados, shadow tag manager containers o herramientas de marketing comprometidas, sin su conocimiento ni consentimiento. En el primer trimestre de 2025, cside detectó más de 300.000 señales de ataque en los sitios monitorizados, siendo la activación de pixels de terceros no autorizados de forma consistente una de las principales categorías detectadas. El informe IBM Cost of a Data Breach 2024 sitúa el coste medio global de una brecha de datos en 4,88 millones de dólares, una cifra que no tiene en cuenta las suspensiones de cuentas publicitarias y las acciones de aplicación regulatoria que los shadow pixels pueden desencadenar específicamente para los operadores de juego. Este no es solo un problema de seguridad. Es simultáneamente un riesgo de aplicación del GDPR y un riesgo de cumplimiento de las políticas de plataformas publicitarias. Trabajando con operadores de juego con licencia, he comprobado que los shadow pixels son casi siempre la exposición de cumplimiento que nadie planeó, colocados por scripts que nadie en el equipo de seguridad sabía que estaban ejecutándose.

Cómo llegan los shadow pixels a los sitios de juego

Respuesta rápida: Los shadow pixels llegan a los sitios de juego a través de tres vías principales: JavaScript de afiliados que incorpora un pixel como parte de su stack de seguimiento, shadow GTM containers añadidos por equipos de marketing o agencias que incluyen tags de pixels de plataformas sociales, y el compromiso de la cadena de suministro de bibliotecas de terceros que inyectan código de pixel sin el conocimiento del operador. En todos los casos, el pixel se activa en los jugadores sin que se haya recogido su consentimiento para ello.

Comprender la mecánica es el primer paso para abordar la responsabilidad. Un shadow pixel no lo planta un atacante sofisticado como un skimmer de Magecart. Más a menudo, llega a través de procesos operativos rutinarios que no tienen supervisión de seguridad.

Las tres vías más comunes para las plataformas de iGaming:

  • Scripts de seguimiento de afiliados: una red de afiliados proporciona un fragmento de JavaScript que activa un postback en el registro o depósito del jugador. Dentro de ese fragmento, ya sea explícitamente o a través de una dependencia que el afiliado incluye, hay una llamada a Facebook Pixel o TikTok Pixel. El pixel se activa con un ID de pixel que no es de primera parte, lo que significa que los datos van a una cuenta publicitaria que no es la suya. Los datos del browser del jugador, incluida la dirección IP y las señales de comportamiento, se envían a la plataforma.

  • Shadow GTM containers: como se detalla por separado, un contenedor GTM no autorizado puede publicar cualquier tag, incluidos los pixels de plataformas sociales. Un responsable de marketing o personal de una agencia añade un contenedor a uno o más dominios de casino, publica un tag de TikTok Pixel dentro de él, y el pixel comienza a activarse en todas las sesiones de los jugadores en esos dominios. El equipo de seguridad no está al tanto.

  • Compromiso de la cadena de suministro: una biblioteca de JavaScript utilizada para analítica de sesiones, widgets de chat o pruebas A/B es comprometida por un tercero que añade código de carga de pixels a una actualización de versión menor. La divulgación de Sansec Polyfill.js en junio de 2024 demostró que más de 490.000 sitios podían verse afectados simultáneamente por un único script comprometido alojado en una CDN. El mismo vector puede entregar payloads de pixels.

En los tres escenarios, el pixel se activa en los dispositivos de los jugadores y envía datos a una plataforma de publicidad social. El operador no autorizó esto. El jugador no dio su consentimiento para ello con ese fin. Y ni el operador ni el jugador saben que está ocurriendo.

Por qué los shadow pixels son invisibles para las herramientas a nivel de red

Respuesta rápida: Las llamadas de pixel son solicitudes HTTPS estándar a dominios como facebook.com, tiktok.com o linkedin.com, todos ellos destinos legítimos y ampliamente de confianza que las herramientas a nivel de red no marcan. La solicitud parece idéntica tanto si se origina desde un pixel de primera parte autorizado como desde un shadow pixel instalado sin consentimiento. Solo la monitorización a nivel del browser puede distinguir entre ellos, examinando qué script inició la solicitud y qué ID de pixel llevaba.

Esta invisibilidad es lo que hace de los shadow pixels un riesgo de cumplimiento persistente en lugar de una anomalía detectable. Los registros de red mostrarán solicitudes salientes a facebook.com/tr/, analytics.tiktok.com o px.ads.linkedin.com. Estos son dominios esperados y legítimos que aparecen en el tráfico de red de millones de sitios web. No hay ninguna firma que bloquear.

Lo que las herramientas de red no pueden determinar:

  • Qué script de la página inició la llamada de pixel
  • Si el ID de pixel de la solicitud pertenece al operador o a un tercero
  • Si se recogió una señal de consentimiento válida para esta transferencia de datos específica antes de que se activara el pixel
  • Si el pixel se activa en todas las sesiones o solo en segmentos de usuario específicos

Una regla de firewall estándar o una inspección a nivel de CDN ve: GET https://www.facebook.com/tr/?id=XXXXXXXXXX&ev=PageView. No dispone de ningún mecanismo para comparar ese ID de pixel con una lista aprobada, ni para comprobar si el script que realizó la llamada fue autorizado por el operador del sitio.

La Content Security Policy tampoco ayuda. CSP permite o bloquea dominios, no IDs de pixel individuales ni los scripts que los cargan. connect-src facebook.com es un permiso binario. No puede distinguir entre un pixel autorizado y uno no autorizado del mismo dominio.

La doble responsabilidad: GDPR y política de plataformas publicitarias

Respuesta rápida: Los shadow pixels en sitios de juego crean dos exposiciones legales simultáneas. Según el Artículo 5 del GDPR, recopilar y transferir datos de comportamiento de los jugadores a redes publicitarias de terceros sin una base legal válida y el consentimiento adecuado constituye una infracción de protección de datos. La multa de 20 millones de libras impuesta por la ICO a British Airways ilustra los riesgos de aplicación. Por separado, las plataformas publicitarias cuyos pixels se están activando pueden suspender o vetar las cuentas publicitarias del operador cuando se detecta actividad de pixel relacionada con el juego en dominios no conformes.

Estas dos responsabilidades son independientes. Resolver una no resuelve la otra. Y ambas pueden materializarse a partir del mismo pixel no autorizado que se activa en su sitio.

La dimensión del GDPR:

El Artículo 5 del GDPR exige que los datos personales se traten de manera lícita, leal y transparente. Cuando un pixel se activa y envía la dirección IP de un jugador, identificadores de dispositivo y datos de comportamiento a una plataforma de publicidad social, eso es una transferencia de datos personales. Para que sea lícita, el operador necesita una base válida, típicamente el consentimiento explícito recogido antes de que se active el pixel. Si el pixel fue colocado sin el conocimiento del operador, no se configuró ningún mecanismo de consentimiento para él. Cada sesión en que se activa el pixel es una posible infracción del GDPR.

El contexto de aplicación no es abstracto. La Oficina del Comisionado de Información del Reino Unido multó a British Airways con 20 millones de libras por fallos que permitieron a scripts de terceros recopilar datos de pasajeros. Aunque ese caso implicó la recopilación de credenciales en lugar de pixels específicamente, el principio regulatorio es idéntico: usted es responsable de lo que JavaScript ejecuta en su dominio y de los datos que envía a terceros. El desconocimiento de la existencia del pixel no es una defensa.

La dimensión de la política de plataformas publicitarias:

Facebook, TikTok y LinkedIn prohíben a los operadores de juego anunciarse en sus plataformas en la mayoría de los mercados, o requieren una aprobación específica de categoría restringida. Cuando un shadow pixel se activa en un sitio de juego, vincula el dominio del operador con un ID de pixel que está asociado a una cuenta publicitaria. Si la plataforma detecta actividad de pixel relacionada con el juego desde un dominio no aprobado, la cuenta publicitaria vinculada puede ser suspendida. Esto puede tener consecuencias significativas si el operador ejecuta campañas publicitarias legítimas en esa plataforma para productos no relacionados con el juego o en mercados aprobados, ya que toda la cuenta puede estar en riesgo.

La naturaleza dual de esta responsabilidad significa que los equipos de cumplimiento, los DPO y los equipos de operaciones de marketing tienen todos un interés en la detección de shadow pixels. No es exclusivamente un problema de seguridad o ingeniería.

Tipo de responsabilidadOrganismo regulador/de aplicaciónConsecuencia potencial
Transferencia de datos GDPR sin consentimientoICO (Reino Unido), APDs nacionales (UE)Multas de hasta el 4% del volumen de negocio global anual
Incumplimiento de la política de plataformas publicitariasFacebook, TikTok, LinkedInSuspensión o prohibición permanente de la cuenta publicitaria
Exposición combinadaAmbos simultáneamenteMulta regulatoria más pérdida de capacidad publicitaria

Cómo cside detecta los IDs de pixel de terceros no autorizados en todas las sesiones

Respuesta rápida: cside instrumenta el 100% de las sesiones de usuario reales a nivel del browser e identifica cada script que se activa, cada solicitud de red que esos scripts realizan y cada ID de pixel contenido en esas solicitudes. Cuando se detecta un ID de pixel que no coincide con el inventario de pixels autorizados del operador, cside genera una alerta con el contexto completo: qué script lo desencadenó, a qué dominio se envió y qué páginas y segmentos de usuarios quedaron expuestos.

El enfoque de cside para la detección de pixels va más allá de identificar que se realizó una solicitud a un dominio de plataforma social. Muestra el ID de pixel en la solicitud, lo mapea al script que lo activó e identifica el contexto del contenedor o tag manager que cargó ese script.

Para una plataforma de juego multimarca, esto significa:

  • Un inventario unificado de IDs de pixel en todos los dominios: cside muestra cada ID de pixel distinto observado activándose, por dominio, actualizado en tiempo real
  • Clasificación de primera parte frente a terceros: los IDs de pixel autorizados se registran en el inventario de scripts de la plataforma; cualquier ID de pixel que no esté en la lista aprobada activa una alerta
  • Atribución de scripts: para cada evento de shadow pixel, cside identifica el script exacto que realizó la llamada, ya sea un fragmento JS de afiliado, un tag dentro de un contenedor GTM o una biblioteca de terceros modificada
  • Validación del momento del consentimiento: cside puede determinar si un pixel se activó antes o después de una interacción de consentimiento, lo cual es directamente relevante para demostrar el cumplimiento del GDPR o identificar infracciones
  • Cobertura del 100% de las sesiones: dado que cside monitoriza cada sesión en lugar de muestrear, captura el despliegue de pixels orientado geográficamente o por segmentos que la monitorización por muestreo perdería estadísticamente

Los enfoques de monitorización basados en proxy interceptan el tráfico a nivel de red antes de que llegue al browser. Esto muestra alguna actividad de pixel pero no puede observar el contexto completo de ejecución de JavaScript: específicamente, qué script cargó el pixel, en qué contenedor y bajo qué condiciones de activación. Los enfoques de proxy de red también tienen limitaciones inherentes de muestreo en plataformas de alto tráfico.

Más allá de la detección, cside proporciona control de permisos por proveedor. A un proveedor de pixel de analítica o atribución se le puede asignar un perfil de permisos que bloquea su acceso a la Payment Request API, las escrituras de cookies o localStorage, aplicado a nivel del browser. Esto significa que incluso si el código de un proveedor de pixel es comprometido posteriormente, un script de pixel secuestrado no puede acceder a los campos de pago ni a los datos de sesión porque el perfil de permisos lo impide independientemente de lo que el script intente hacer.

En nuestra monitorización de operadores de juego con licencia, la activación de pixels no autorizados es una de las exposiciones de cumplimiento más comunes que detectamos en el primer despliegue. Los operadores típicamente desconocen que los pixels se están activando porque el dominio del pixel (facebook.com, analytics.tiktok.com) aparece en los registros de red como un destino rutinario y esperado. Sin la atribución a nivel del browser que vincule la solicitud a un script específico y a un contenedor, no hay ningún mecanismo para determinar si el ID de pixel pertenece al operador o a un tercero.

Lo que encuentra una primera sesión de monitorización en una plataforma de juego

Cuando ejecutamos la primera sesión de monitorización de cside en una importante plataforma europea de juego en línea multimarca a principios de este año, la preocupación inmediata del equipo de cumplimiento era el GDPR. Lo que el inventario a nivel del browser mostró el primer día fue más específico de lo que esperaban. En el dominio de la marca inicial monitorizada, cside identificó múltiples pixels de plataformas sociales activándose en páginas de jugadores activos, con IDs de pixel que no pertenecían al operador. Los pixels habían llegado a través de fragmentos de JavaScript de afiliados integrados durante la configuración de campañas. El equipo de marketing había añadido los tags de afiliados de buena fe como parte de acuerdos legítimos. Nadie había auditado qué más contenían los scripts de los afiliados.

Los pixels se activaban en cada sesión, sin ninguna puerta de consentimiento, enviando las direcciones IP de los jugadores y señales de comportamiento a cuentas publicitarias externas. El equipo de cumplimiento no tenía visibilidad previa de esto porque los dominios de los pixels (facebook.com, analytics.tiktok.com) aparecían en sus registros de red como destinos rutinarios y esperados. No había ninguna alerta ni mecanismo para comparar los IDs de pixel con una lista aprobada. En las 24 horas siguientes al inicio de la monitorización, la plataforma tenía un inventario completo de cada ID de pixel que se activaba en el dominio de prueba, incluidos qué scripts los entregaban, en qué páginas estaban activos y durante cuánto tiempo parecían haber estado ejecutándose. El DPO inició una evaluación del Artículo 33 ese mismo día.

Flujo de trabajo de corrección: de la detección a la resolución

Respuesta rápida: Cuando cside detecta un pixel no autorizado, el flujo de trabajo de corrección tiene cuatro etapas: contención inmediata (bloquear el script o contenedor que entrega el pixel), evaluación del impacto (determinar qué dominios, rangos de fechas y segmentos de usuarios quedaron expuestos), evaluación de la notificación regulatoria (evaluar si se requiere un informe de brecha según el Artículo 33 del GDPR) y mejora del proceso (actualizar su proceso de gobernanza de scripts para evitar la reincidencia).

La corrección no es solo un ejercicio técnico. Dado que los shadow pixels pueden constituir una violación de datos personales bajo el GDPR, la respuesta de cumplimiento debe ejecutarse en paralelo con la solución técnica.

  1. Contención: identificar el script o contenedor GTM que entrega el pixel no autorizado y eliminarlo de los dominios afectados. La atribución de ejecución de cside le indica exactamente qué activo debe apuntarse, eliminando las conjeturas de una auditoría manual.

  2. Delimitación del impacto: determinar el rango de fechas durante el cual el pixel se estuvo activando, qué dominios se vieron afectados y aproximadamente cuántas sesiones quedaron expuestas. Estos datos son necesarios para cualquier notificación regulatoria y para el registro interno del incidente.

  3. Evaluación regulatoria: según el Artículo 33 del GDPR, una violación de datos personales debe notificarse a la autoridad supervisora competente en un plazo de 72 horas si es probable que suponga un riesgo para los derechos y libertades de las personas. La transferencia de datos de comportamiento de jugadores a una plataforma de publicidad social sin consentimiento puede alcanzar este umbral. Su DPO debe realizar esta evaluación con prontitud, con los datos de delimitación del impacto de la segunda etapa.

  4. Actualización del proceso: el shadow pixel llegó a su sitio porque se añadió un script sin revisión de seguridad. Implemente un proceso de control de cambios que exija que todos los nuevos scripts, contenedores de tag managers e integraciones de JavaScript de terceros sean revisados y aprobados antes de activarse en cualquier dominio de su portfolio. Las alertas en tiempo real de cside funcionan como el mecanismo de aplicación continua de esa política una vez que está en vigor.

Resumen

Los shadow pixels crean una exposición de cumplimiento que es invisible por diseño. Los dominios de los pixels parecen legítimos en los registros de red. El flujo de consentimiento de su sitio no tiene conocimiento de un pixel que no configuró. Su CMP no puede controlar lo que no puede ver. La única capa que puede atribuir una llamada de pixel a su script de origen, comparar el ID de pixel con un inventario aprobado y marcarlo en tiempo real es aquella que se ejecuta dentro del browser. Para los operadores de juego con licencia con obligaciones bajo el GDPR y restricciones en plataformas publicitarias, la monitorización continua a nivel del browser no es una mejora opcional. Es el mecanismo que hace que la responsabilidad proactiva bajo el Artículo 5(2) del GDPR sea operativamente posible. El Privacy Watch de cside proporciona un inventario completo de pixels a partir de sesiones de jugadores reales, comparado con su configuración de consentimiento, con alertas para cada destino no declarado. Para contexto sobre cómo los scripts no autorizados llegan a sus dominios a través de tag managers, consulte nuestra guía sobre shadow GTM containers en plataformas de juego multimarca.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Un shadow pixel es un pixel de seguimiento de una plataforma de publicidad social (típicamente Facebook, TikTok o LinkedIn) que se activa en su sitio de juego sin su autorización. Lo coloca allí un script de terceros, un fragmento de afiliado o un contenedor de tag manager no autorizado. El pixel envía datos de comportamiento de los jugadores a una cuenta publicitaria externa que no es la suya, sin que se haya recogido el consentimiento del jugador para ese fin.

Bajo el GDPR, los operadores son responsables de todo el tratamiento de datos personales que ocurre en sus dominios, incluidos los datos transferidos a terceros por scripts que no autorizaron conscientemente. El principio de responsabilidad proactiva del Artículo 5(2) significa que debe poder demostrar que todo el tratamiento es lícito. No puede invocar el desconocimiento como defensa si un pixel se estaba activando en su sitio y no tenía ninguna monitorización para detectarlo.

Una CMP bloquea los scripts incluidos en su configuración de consentimiento de cookies para que no se activen antes de obtener el consentimiento. Un shadow pixel que no está en la configuración de su CMP no está cubierto por ella. La CMP no tiene conocimiento de él y no puede bloquearlo ni controlarlo. Por eso es necesaria la monitorización de scripts a nivel del browser que opere de forma independiente a la configuración de su CMP para detectar y mostrar los pixels no autorizados.

Si una plataforma de publicidad social detecta que un pixel vinculado a una de sus cuentas publicitarias se está activando en un dominio de juego en un mercado donde la publicidad de juego no está aprobada, puede suspender la cuenta publicitaria vinculada. Esto puede afectar a las campañas publicitarias legítimas que se ejecutan desde esa cuenta, incluidas las campañas en mercados aprobados o para productos no relacionados con el juego. El riesgo de suspensión se aplica independientemente de si el operador colocó el pixel conscientemente.

Una auditoría puntual es insuficiente porque su entorno de scripts de terceros cambia cada vez que se firma un acuerdo de afiliado, se lanza una nueva marca o se vuelve a publicar un contenedor GTM. La monitorización continua a nivel del browser que alerta en tiempo real cuando se detecta un nuevo ID de pixel es el único enfoque operativamente viable a la escala de una plataforma de juego multimarca. Las auditorías manuales son un complemento útil pero no pueden sustituir la cobertura continua.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo