Skip to main content
Blog
Blog

El punto ciego de la PII en la seguridad web

Pero la PII circula por el frontend, donde los controles son más débiles y la visibilidad suele ser limitada.

Jul 30, 2025 13 min read
blog-cover-the-pii-blind-spot
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

La Información de Identificación Personal (PII, por sus siglas en inglés) es un elemento central en las leyes de privacidad y los estándares de manejo de datos. La mayoría de las organizaciones se centran en cómo se almacena y procesa esta información en los sistemas backend. Pero los datos PII también circulan por el frontend, donde los controles son más débiles y la visibilidad suele ser limitada.

Los scripts del lado del cliente introducen riesgos de privacidad difíciles de detectar. Estos scripts suelen ser de analítica, publicidad, mejora de la experiencia de usuario o procesamiento de pagos. Una vez cargados en el navegador, pueden observar el contenido de la página, interactuar con formularios, acceder a cookies y realizar conexiones salientes.

La mayoría de los sitios web no rastrean lo que hacen estos scripts. Como resultado, pueden exponer datos sensibles a terceros sin saberlo.

Para reducir el riesgo, es importante entender qué se considera PII. También es importante saber dónde puede aparecer en el navegador. Nuestro panel de comportamiento recientemente publicado ayuda a hacer visible esa información.

¿Qué constituye PII?

La idea central de la PII es consistente en la mayoría de las regulaciones. PII hace referencia a cualquier dato que pueda identificar a una persona, ya sea por sí solo o cuando se combina con otra información.

Ejemplos comunes de PII incluyen:

  • Nombre
  • Dirección de domicilio
  • Número de teléfono
  • Dirección de correo electrónico
  • Fecha de nacimiento
  • Número de identificación nacional o pasaporte
  • Datos de cuentas financieras
  • Credenciales de acceso

Todos estos se consideran identificadores directos. Pero muchas regulaciones de privacidad también incluyen identificadores indirectos cuando pueden vincularse a una persona. Esto incluye:

  • Direcciones IP
  • IDs de dispositivo
  • Huellas digitales del navegador
  • Valores de cookies
  • Datos de ubicación
  • IDs de seguimiento únicos
  • Tokens de sesión

Requisitos del GDPR en relación con la PII

El GDPR define la PII como:

Del Considerando 30 del GDPR:

"Las personas físicas pueden ser asociadas con identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de internet, identificadores de cookies u otros identificadores como etiquetas de identificación por radiofrecuencia."

Enlace

Del Artículo 4(1) del GDPR:

"Los datos personales son toda información sobre una persona física identificada o identificable… especialmente mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea…"

Enlace

El GDPR enumera ejemplos específicos:

  • Direcciones IP
  • Identificadores de cookies
  • Datos de ubicación
  • Identificadores en línea como IDs de dispositivo o navegador

Todos estos están cubiertos bajo el concepto de "identificador en línea".

Requisitos de HIPAA en relación con la PII

HIPAA define la PII como:

De la guía de desidentificación de HIPAA:

"Identificadores de dispositivos y números de serie; URL web; Dirección de Protocolo de Internet (IP); … Cualquier otro número, característica o código de identificación único."

Enlace

HIPAA define 18 identificadores que deben eliminarse para desidentificar la Información de Salud Protegida (PHI). Estos incluyen, entre otros:

  • Identificadores de dispositivos y números de serie
  • Direcciones IP
  • URLs web
  • Cualquier otro número o código de identificación único

Requisitos de PCI DSS en relación con la PII

PCI DSS define la PII como:

De PCI DSS v4.0, Sección 3.3:

"Enmascarar el PAN cuando se muestre (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se pueden mostrar)."

Enlace

PCI DSS se centra específicamente en la protección de los datos del titular de la tarjeta y los datos de autenticación sensibles. Esto incluye:

  • Número de Cuenta Principal (PAN)
  • Nombre del titular de la tarjeta
  • Fecha de vencimiento
  • Código de servicio y Valor de Verificación de la Tarjeta (CVV, CVC)
  • PIN y datos del bloque PIN
  • Datos de la banda magnética o del chip

A diferencia del GDPR o HIPAA, PCI DSS no clasifica las direcciones IP, cookies, IDs de dispositivo ni identificadores de navegador como datos sensibles. El alcance del estándar se limita a proteger la información de tarjetas de pago, lo cual tiene sentido dado su propósito.

Sin embargo, todo lo anterior forma parte, por supuesto, de la PII.

CCPA / CPRA

CCPA / CPRA define la PII como:

De la Agencia de Protección de Privacidad de California:

"La información personal incluye cualquier dato que identifique, esté relacionado con, o pueda razonablemente vincularse a usted o a su hogar, directa o indirectamente… dirección IP."

Enlace

"Información que identifica, está relacionada con, describe, es capaz de asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un consumidor o hogar en particular."

Enlace

Del Proyecto de Ley del Senado de Colorado 21‑190:

"'INDIVIDUO IDENTIFICADO O IDENTIFICABLE' significa un individuo que puede ser fácilmente identificado, directa o indirectamente, en particular mediante referencia a un identificador como un nombre, un número de identificación, datos de geolocalización específicos, o un identificador en línea."

Enlace

CCPA/CPRA protege una amplia gama de identificadores, entre ellos:

  • Direcciones IP
  • IDs de dispositivo
  • Huellas digitales del navegador
  • Valores de cookies
  • Datos de ubicación
  • IDs de seguimiento únicos
  • Tokens de sesión
  • Historial de navegación

Cómo se expone la PII en el navegador

La PII se gestiona frecuentemente en el frontend. Es ahí donde es visible para el usuario y donde se introduce en los formularios. La visibilidad sobre lo que los scripts tienen acceso es limitada, y el comportamiento es más difícil de controlar. Casi todos los sitios web modernos incluyen bibliotecas y servicios JavaScript de terceros. Estos pueden provenir de proveedores de analítica, plataformas publicitarias, herramientas de atención al cliente o proveedores de optimización de marketing.

Una vez que estos scripts se cargan en el navegador, se ejecutan con acceso completo a la página.

Pueden:

  • Leer los campos de formulario mientras el usuario escribe
  • Acceder a cookies y almacenamiento local
  • Analizar el DOM y extraer datos visibles
  • Rastrear el comportamiento del usuario
  • Realizar solicitudes de red a dominios externos

Algunos scripts están diseñados para recopilar esta información. Otros obtienen acceso de forma no intencionada debido a cómo están implementados. Y lo más importante: todos los scripts tienen técnicamente acceso a esa PII.

Es decir: los datos personales pueden quedar expuestos a sistemas fuera de tu control.

Estos datos no tienen que estar almacenados en una base de datos para generar riesgo. Si un script envía datos de formularios o cookies a un servidor externo, eso constituye una transferencia de PII. Si ese script pertenece a un proveedor que no controlas completamente, o a un dominio que no reconoces, esto puede convertirse rápidamente en un problema de cumplimiento.

La mayoría de los sitios web no registran lo que ocurre dentro del navegador. Eso hace que la actividad del lado del cliente sea difícil de auditar. Incluso el monitoreo avanzado del lado del servidor no capturará estos comportamientos.

Nuestro panel de comportamiento ahora ayuda a cubrir esta brecha.

Rastrea dos tipos críticos de exposición:

  1. Datos de solicitudes: qué scripts realizan solicitudes salientes y a qué dominios.
  2. Acceso a formularios: qué scripts leen o interactúan con campos de entrada.

Si un script lee la dirección de correo electrónico de un usuario o la envía a un servidor externo, el panel lo registrará. Si un token de sesión se envía a un píxel de seguimiento o a un dominio de analítica, eso también aparecerá. Esta información puede ayudar a los equipos a detectar exposiciones accidentales o infracciones de políticas antes de que escalen.

Por tanto, la PII puede quedar expuesta de formas que no implican una brecha en tus servidores. Puede ser gestionada, accedida y transmitida íntegramente dentro del navegador. Si esa actividad no se monitorea, no sabes cuándo ni qué datos personales se están compartiendo con terceros.

Las regulaciones de privacidad te exigen controlar la PII de tus clientes. Y eso incluye lo que ocurre en el lado del cliente. Al entender qué se considera PII y cómo fluye a través del frontend, puedes reducir el riesgo y cumplir con los requisitos normativos.

Monitorear el acceso a formularios y el comportamiento de los scripts salientes es un paso práctico. Ayuda a revelar problemas que las herramientas de backend suelen pasar por alto. También ofrece una imagen más precisa de cómo los datos personales se mueven por tu sitio web en condiciones reales.

Preguntas adicionales respondidas

P: ¿Qué es la información de identificación personal (PII) y por qué es importante para los sitios web?

La PII es cualquier dato que pueda identificar a alguien. A veces ocurre de forma directa; otras veces sucede cuando los datos personales se combinan con datos públicos. La PII incluye cosas obvias como nombres, direcciones de correo electrónico y números de teléfono. Pero también abarca datos menos visibles como direcciones IP, IDs de dispositivo y valores de cookies.

Las leyes de privacidad como el GDPR, CCPA e HIPAA te exigen proteger estos datos.

P: ¿Cómo puede la información de identificación personal (PII) quedar expuesta a través del frontend de mi sitio web sin que yo lo sepa?

El frontend de tu sitio web ejecuta scripts de terceros con acceso completo a la página. Estos scripts pueden leer información personal mientras los usuarios rellenan formularios. Pueden acceder a cookies, capturar datos y exfiltrarlos a servidores externos. La mayoría de los sitios web no rastrean lo que hacen estos scripts, lo que significa que los datos personales pueden compartirse sin tu conocimiento.

P: ¿Qué tipos de PII están cubiertos por las leyes de privacidad?

Las leyes de privacidad cubren tanto información personal directa como indirecta.

Los identificadores directos incluyen: nombres, direcciones, números de teléfono, direcciones de correo electrónico y números de la Seguridad Social.

Los identificadores indirectos son cosas como: direcciones IP, IDs de dispositivo, huellas digitales del navegador, valores de cookies y tokens de sesión.

Todo esto, dentro y fuera de la ciberseguridad.

La mayoría de las regulaciones definen la PII como cualquier dato que pueda identificar a una persona, ya sea directamente o vinculándolo con otros detalles. Las distintas leyes tienen categorías diferentes, pero saber qué cuenta como PII te ayuda a mantenerte en cumplimiento en todos los ámbitos.

P: ¿Por qué las herramientas de seguridad tradicionales no detectan las exposiciones de PII en el lado del cliente?

Las herramientas de seguridad tradicionales se centran en el lado del servidor. Pero la exposición de PII en el lado del cliente ocurre realmente en el navegador del usuario, no en tus servidores. Al menos no al principio.

Cuando un script de terceros lee información de identificación personal de los formularios y la envía a un dominio externo, esa actividad no aparece en los registros de tu servidor.

Se necesita monitoreo del lado del cliente para ver a qué datos personales se está accediendo y a dónde van.

P: ¿Qué comportamientos específicos del lado del cliente debo monitorear para proteger la PII?

Debes monitorear dos cosas:

1) qué scripts realizan solicitudes salientes.

2) qué scripts acceden a campos de formulario que contienen información personal.

Nuestro panel de comportamiento rastrea esta actividad. Muestra cuándo los scripts acceden a datos como direcciones de correo electrónico o envían información personal a dominios de seguimiento. También señala cuándo se exfiltra cualquier PII a servidores externos. Esto te ayuda a identificar qué constituye una exposición de PII.

P: ¿En qué se diferencia PCI DSS de otras leyes de privacidad en relación con la PII?

El Estándar de Seguridad de Datos PCI tiene un enfoque más limitado que marcos como el GDPR, CCPA o HIPAA. Se aplica específicamente a la información de tarjetas de pago, no a los datos personales en general. Sin embargo, ambos caen bajo el mismo paraguas.

PCI DSS define los datos del titular de la tarjeta como Números de Cuenta Principal (PAN), nombres del titular y fechas de vencimiento. No clasifica las direcciones IP, cookies u otros identificadores indirectos como datos sensibles.

Las empresas deben proteger todos los tipos de información personal bajo las leyes de privacidad más amplias. Al mismo tiempo, deben cumplir con los requisitos de PCI DSS para proteger los datos de pago. Puedes leer más al respecto aquí.

P: ¿Cuándo genera una infracción de cumplimiento la exposición de PII en el lado del cliente?

Una infracción de cumplimiento ocurre cuando la información personal se transmite a terceros sin autorización. Si un script envía datos de formularios o cookies a un servidor externo que no controlas, eso constituye una violación de las normas de privacidad, además de compartir esos datos manualmente, por supuesto.

Saber qué cuenta como PII y rastrear a dónde va te ayuda a mantenerte en cumplimiento con el GDPR, CCPA, HIPAA y otros marcos de privacidad.

P: ¿Quién es responsable de monitorear las exposiciones de PII en el lado del cliente dentro de una organización?

Monitorear y proteger la información personal requiere la implicación de toda la empresa. Esto aplica tanto a grandes como a pequeñas compañías. Algunas organizaciones tienen responsables de privacidad a tiempo completo; otras pueden tener simplemente un desarrollador con enfoque en privacidad.

Toda la empresa necesita entender cómo fluyen los datos personales para poder cumplir con los requisitos de notificación establecidos por leyes como el GDPR, CCPA e HIPAA.

La responsabilidad última recae en la dirección de la empresa.

P: ¿Cuáles son las formas más comunes en que los sitios web exponen inadvertidamente PII a través de scripts de terceros?

Las exposiciones más comunes ocurren a través de scripts que de otro modo serían normales pero que han sido comprometidos o se vuelven maliciosos:

  • Scripts de analítica que de repente capturan datos de formularios más allá de su alcance
  • Píxeles publicitarios que leen cookies fuera de sus dominios designados
  • Widgets de soporte que acceden a entradas de usuario en formularios no autorizados
  • Scripts diseñados para la recopilación legítima de datos que superan sus límites
  • … y más

Algunos scripts recopilan PII de forma intencionada por diseño. Otros lo hacen por accidente o con intención maliciosa.

Saber qué información personal se está recopilando y a dónde va ayuda a prevenir filtraciones accidentales.

P: ¿Qué nivel de riesgo representa para mi negocio la actividad no monitorizada en el lado del cliente?

Los organismos reguladores bajo el GDPR, CCPA e HIPAA pueden y han impuesto multas elevadas por el manejo inadecuado de la PII. Los clientes también esperan que sus datos estén protegidos. Las brechas que involucran información personal dañarán la confianza y la reputación. En el pasado se han presentado y ganado demandas colectivas con éxito.

P: ¿Qué acciones inmediatas puedo tomar para minimizar los riesgos de exposición de PII en el lado del cliente?

Comienza auditando todos los scripts de terceros para ver a qué información personal pueden acceder. Implementa herramientas de detección de exfiltración de datos para obtener visibilidad sobre esos scripts. Luego, monitoréalos y protégelos.

Revisa tus políticas de privacidad para asegurarte de que incluyan cómo los datos fluyen y son capturados en tu frontend.

Implementa tanto protecciones tradicionales del lado del servidor como protección del lado del cliente.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad
Related Articles
Reservar una demo