Blog

El hackeo del Internet Archive: Cómo JavaScript encaja en el panorama

El Internet Archive, también conocido como The Wayback Machine, experimentó una brecha de seguridad ayer. Esta no fue la primera vez que fue at

Oct 18, 2024 • 2 min read

Simon Wijckmans Founder & CEO

Que ocurrio en Internet Archive

El Internet Archive, mejor conocido por The Wayback Machine, experimentó una brecha de seguridad ayer. Esta no fue la primera vez que fue atacado.

Apareció un mensaje emergente burlón en JavaScript que decía:

¿Alguna vez has sentido que el Internet Archive funciona con palos y está constantemente al borde de sufrir una brecha de seguridad catastrófica? Acaba de suceder. ¡Nos vemos a 31 millones de ustedes en HIBP!

Ventana emergente burlona de JavaScript dejada por los atacantes en el Internet Archive

HIBP, abreviatura de Have I Been Pwned?, es un sitio donde los usuarios pueden verificar si su información personal ha sido comprometida en una filtración de datos. Troy Hunt, quien administra HIBP, le dijo a BleepingComputer que recibió un archivo hace días que contenía datos internos de 31 millones de direcciones de correo electrónico únicas. Verificó la autenticidad de los datos comparándolos con los detalles de la cuenta de un usuario.

Listado de Have I Been Pwned con los datos de la brecha del Internet Archive

El Internet Archive es un recurso invaluable al investigar ciberataques. Durante nuestra investigación sobre el ataque de Polyfill, lo utilizamos para descubrir una etiqueta fraudulenta de "Cloudflare Security Protection".

Instantánea del Internet Archive de la página de polyfill.io durante el ataque

Es desalentador ver organizaciones sin fines de lucro atacadas por cibercriminales. Si bien este incidente involucró una brecha de backend, ningún sitio web está completamente protegido de los ataques del lado del cliente contra los que defendemos.

Como resultado, hemos decidido ofrecer nuestros servicios de forma gratuita a cualquier organización sin fines de lucro. Aquellas que deseen usar cside para sus organizaciones sin fines de lucro obtendrán acceso a nuestras herramientas avanzadas sin costo alguno.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Los atacantes usaron un popup de JavaScript en archive.org para burlarse de los visitantes y probablemente abusaron de una dependencia vulnerable del cliente para escalar accesos. Más tarde se confirmó la filtración de los datos de 31 millones de usuarios a Have I Been Pwned.

Investigadores y periodistas dependen de las instantáneas del archivo para investigar brechas. Cuando el propio archivo está comprometido, el rastro de evidencia de otros ataques a la cadena de suministro — como Polyfill — es más difícil de verificar.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.