Blog

El Riesgo de la Cadena de Suministro No Termina en NPM

Al solo verificar NPM (u otro registro), no estás protegido contra ataques a través de scripts de terceros.

May 30, 2024 • 3 min read

Ilustracion de que la seguridad del lado del cliente no es solo npm

Los ataques a la cadena de suministro son un problema prioritario hoy en día. El número de estos ataques en EE. UU. aumentó un 115% entre 2022 y 2023, según Statista. Herramientas como Socket y Coana detectan código dañino en registros como NPM. Pero el riesgo de la cadena de suministro no termina ahí.

Diagrama de los riesgos de seguridad del lado del cliente por contenido de terceros inyectado dinámicamente

Algunas herramientas son scripts de terceros que son obtenidos por el navegador del usuario. Al solo verificar NPM (u otro registro), no estás protegido contra ataques a través de estos scripts.

Estos scripts, utilizados para seguimiento de marketing, anuncios, captchas y mucho más, se implementan frecuentemente en sitios completos por conveniencia. Estos scripts son poderosos y pueden hacer cosas como reescribir código, redirigir usuarios, exfiltrar datos e incluso minar criptomonedas en tu navegador.

El método de entrega de estos scripts permite un comportamiento dinámico. Cualquier usuario puede recibir una entrega diferente cada vez, especialmente cuando un script ha sido comprometido.

A medida que más personas adoptan mejores enfoques de seguridad de dependencias, los scripts dinámicos que se obtienen del lado del navegador son un vector de ataque cada vez más interesante y sustancial. Esto hace que verificar solo las fuentes sea un juego arriesgado. El mejor enfoque es verificar el código completo cada vez que se entrega, que es lo que hace cside.

Además, muchos de estos scripts no son mantenidos por empresas centradas en tecnología. Las herramientas pueden quedar descuidadas a medida que las empresas se disuelven o son adquiridas, dejándolas susceptibles a secuestros. Incluso los servicios de buena reputación y ampliamente utilizados no están exentos de fallas, como lo evidencian los problemas de cdnjs en 2021 o esta persona que compró un dominio expirado de policía y servicios sociales en Bélgica y obtuvo acceso a información privada de esa manera.

Finalmente, el 95% de estos scripts carecen de protecciones contra secuestros de DNS. Incluso la red en la que te encuentras puede afectar el script que recibes.

Qué hacer al respecto

Esto es lo que recomendamos:

Usa una herramienta como Socket (o alternativas) para el riesgo de la cadena de suministro en el registro y usa cside para monitorear el comportamiento de los scripts de terceros del lado del navegador. Verificamos el código completo de fuentes de terceros, el 100% del tiempo, antes de que se entregue al navegador de tu usuario. Asegurando completamente este lado de la cadena de suministro.

Por último, debes proteger tu infraestructura contra ataques entrantes. Para eso usa algo como Cloudflare's Web Application Firewall.

Cosas más específicas como cargas de formularios y detección de bots pueden requerir herramientas especializadas.

Usa herramientas de monitoreo proactivo como Hadrian o Cycognito para monitorear la superficie de amenazas.

Diagrama de las capas de riesgo de cadena de suministro más allá de los paquetes npm

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Las dependencias de build son una fuente de riesgo, pero los scripts de terceros en tiempo de ejecución, las CDNs y el contenido cargado dinámicamente también se ejecutan en el navegador. A un atacante le basta con comprometer una de esas capas para llegar a tus usuarios.

CDNs, gestores de etiquetas, herramientas de A/B testing, analítica, SDKs de pago y cualquier script que cargue otros scripts. La monitorización del lado del cliente como cside vigila cada uno de ellos en tiempo de ejecución, no solo en la instalación.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Detección de account sharing: cómo cerrar la brecha de aplicación que los límites de sesiones concurrentes no cubren

Los límites de sesiones concurrentes marcan el caso obvio.

Cómo Bloquear Applebot-Extended en Tu Sitio Web

Applebot-Extended es el rastreador de entrenamiento de IA de Apple que alimenta Apple Intelligence. Aprende en qué se diferencia de Applebot y cómo excluirte vía robots.txt.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre monitoreo de scripts de terceros en dominios de casino

Cómo monitorear scripts de terceros en 100 o más dominios de casino

Guía práctica para monitorear scripts de terceros en 100+ dominios de casino: expansión de scripts, alertas entre dominios y escalamiento cside.

Riesgos de seguridad de la IA agéntica para sitios web: privacidad, cumplimiento y detección

Los navegadores de IA agéntica omiten el consentimiento de cookies, ejecutan JavaScript real y crean brechas de cumplimiento del RGPD que la detección de bots a nivel CDN no puede ver.

Ilustración de un sistema neuronal de detección de bots en dos etapas que separa sesiones de navegador humanas y de bots

Cazar bots que no quieren ser cazados: por dentro de un stack neuronal de detección en dos etapas

Cómo un stack neuronal de dos etapas caza stealth browsers, scrapers con proxy residencial y agentes LLM que pasan toda huella, y sus límites reales.

Cómo Bloquear DeepSeekBot en Tu Sitio Web

DeepSeekBot rastrea tu sitio para una empresa china de IA. Aprende a bloquearlo con robots.txt, reglas de IP y los riesgos reales de soberanía de datos que plantea.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre cumplimiento de scripts ante la Malta Gaming Authority

Cumplimiento de la Malta Gaming Authority y seguridad de scripts del lado del cliente: lo que los operadores con licencia MGA necesitan cubrir

Las reglas de MGA exigen una plataforma segura y auditable. El JavaScript de terceros es una brecha que la mayoría no ha auditado.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre ataques de scripts de terceros en plataformas de iGaming

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.