Recientemente, más de 490,000 sitios web fueron objetivo de un ataque a la cadena de suministro web. (Censys contó de forma independiente 384.773 hosts que aún referenciaban el dominio el 2024-07-02.) Fuimos los primeros en reportar la escala real del ataque en nuestro artículo original. Para la historia completa de 2024–2026, consulta nuestra cronología y análisis completos de Polyfill.io.
Algunos artículos que nos mencionaron incluyen:
NOTA: Si un sitio web está referenciando los dominios polyfill[.]io bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org y unionadjs[.]com hoy, todavía están expuestos a este ataque.
¿Qué era el proyecto del servicio Polyfill?
Polyfill era originalmente un proyecto de código abierto que permitía a los sitios web usar características modernas de JavaScript en navegadores antiguos como Internet Explorer. Esto era necesario cuando la comunidad en línea gradualmente se movió a frameworks de navegadores más modernos.
A pesar de ser en gran medida innecesario ya que la cantidad de tráfico de Internet Explorer se volvió insignificante, miles de sitios web todavía referencian este dominio.
Creado en octubre de 2014, Polyfill recibió actualizaciones regulares. En febrero de 2024, el colaborador Andrew Betts (@triblondon en X) advirtió a la comunidad cuando el dominio polyfill[.]io fue adquirido por una empresa china de sus propietarios originales:
Si tu sitio web usa
, elimínalo INMEDIATAMENTE.
Yo creé el proyecto del servicio polyfill pero nunca he sido dueño del nombre de dominio y no he tenido ninguna influencia sobre su venta.
— Andrew Betts (@triblondon)
Cómo Polyfill[.]io facilitó un ataque a la cadena de suministro web
Los dominios utilizados para servir scripts populares de terceros son una gran preocupación de seguridad ya que pueden cambiar dinámicamente sin notificar a nadie ni a nada. Esto incluye servir scripts totalmente diferentes según tu navegador, User-Agent, geolocalización, IP o cualquier otro vector. Tienen rienda suelta en lo que sirven a quién, sobre qué base.
Polyfill[.]io y Polyfill[.]com fueron comprados por una empresa china llamada Funnull.
Después de esta venta y la publicación de Andrew en X, el colaborador de Github "renchap" proporciona contexto adicional sobre la transacción:
"Polyfill[.i]o era propiedad del equipo web del Financial Times, luego pasó a gestión comunitaria, y el último mantenedor vendió el proyecto a una extraña empresa china de CDN, y lo movieron de Fastly (la plataforma CDN / Edge compute que ejecutaba el código OSS para el servicio) y comenzaron a manipular los archivos devueltos."
El colaborador de GitHub "munierujp" mencionó que Jake Champion decidió transferir la propiedad de Polyfill a Funnull:
El enlace que referencia ha sido eliminado desde entonces. Tampoco hay una página de Internet Archive disponible.
Andrew Betts y Jake Champion, ambos anteriormente del Financial Times y propietarios originales de Polyfill, ahora trabajan en Fastly.
Otros miembros de la comunidad en este hilo de Github mencionan que:
"Funnull es notoria por proporcionar servicios para las industrias de apuestas y pornografía."
Esto fue un preludio de lo que realmente sucedió después del ataque.
Previo a todo esto, Polyfill se ejecutaba en la plataforma edge compute de Fastly. Dado que esto no está disponible en la nube china, "renchap" en Github notó que polyfill[.]io ahora tenía un registro CNAME a polyfill[.]io.bsclink[.]cn.
Después del sospechoso cambio de propiedad, Fastly configuró un espejo de la biblioteca Polyfill como un dominio alternativo para ayudar a las personas a continuar usando el servicio, polyfill-fastly.io. Proporcionaron esto apenas días después de que se comunicara la venta.
Un día después del anuncio de Fastly, Cloudflare lanzó un endpoint alternativo para Polyfill[.]io en CDNJS para mitigar el riesgo de un ataque.
Esta no es una solución 100% perfecta. Las vulnerabilidades de cndnjs de 2021 mostraron al mundo que incluso los grandes CDN de JavaScript de buena reputación pueden sufrir riesgo en la cadena de suministro. Esto demuestra que uno no puede simplemente confiar en las fuentes. En cambio, se debe usar monitoreo continuo para detectar anomalías. Esto es parte de por qué se fundó cside.
¿Qué sucedió en el ataque de Polyfill?
Un archivo JavaScript manipulado inyectado por el dominio polyfill[.]io redirigió a un porcentaje de usuarios a sitios web para adultos y de apuestas según su User-Agent. Un usuario japonés de X, "piyokango" fue probablemente el primero en reportar este ataque el 24 de junio.
El 25 de junio, "Huli" pudo reproducir este ataque y reportarlo en inglés. Se encontró con una publicación de GitHub del día anterior, donde un usuario llamado "alitonium" explica cómo lo descubrió.
Después de cumplir ciertas condiciones, el archivo JavaScript alterado se revela. Después de decodificarlo, muestra un enlace falso de Google Analytics googie-anaiytics[.]com/gtags.js. Observa cómo este dominio es uno de typosquatting: se usa la letra i en lugar de una l, tanto en "googie" como en "anaiytics." La empresa de seguridad Sansec publicó un desglose forense completo del payload. (El CVE-2024-38526 relacionado se asignó a pdoc, la herramienta de documentación de Python que cargaba polyfill.io, no al incidente en su conjunto.)
Este dominio typosquatted redirige a los usuarios a varios sitios web de apuestas deportivas y para adultos, aparentemente según su región. Este es uno de los sitios web a los que fuimos redirigidos:
Aunque este ataque a la cadena de suministro web en ese momento solo redirigió a los usuarios, podrían haber sucedido muchas cosas. Desde ataques de abrevadero hasta capturar detalles de tarjetas de crédito. Un ataque de abrevadero es un tipo donde los hackers atacan un sitio web que un grupo específico de personas visita con frecuencia. Infectan el sitio con malware para que cuando los miembros del grupo visiten el sitio, sus computadoras se infecten.
Debido a que la mayoría de las medidas de seguridad comunes se basan únicamente en verificar fuentes, ataques como este todavía están sucediendo hoy. Como mostró este ejemplo particular, los proveedores de feeds de amenazas no listaron el dominio polyfill[.]io como malicioso hasta días después de los reportes. Esto es operar desde un enfoque de experimentar primero, reaccionar después que fundamentalmente permite que ataques como este sigan sucediendo.
cside fue fundado específicamente para desafiar la dependencia de los feeds de amenazas, ya que el ritmo de nuevos métodos de ataque creativos es mayor que la velocidad a la que los feeds de amenazas los procesan. Esto quedó claro recientemente con la crisis de la Base de Datos Nacional de Vulnerabilidades (NVD), donde más de 10,000 ataques conocidos estaban esperando en un backlog para ser revisados y procesados en Vulnerabilidades y Exposiciones Comunes (CVE).
En el ejemplo de Polyfill, nuestro motor pudo detectar los polyfills inyectados y evitó que sucedieran. Protegió al usuario y alertó al propietario del sitio web sobre el código malicioso.
Cuando "Huli" del blog mencionado anteriormente publicó sobre el cambio de comportamiento, comenzamos a escribir nuestro propio reporte, que se publicó poco después. Primero reportamos que aproximadamente 110,000 sitios web fueron afectados. Más tarde corregimos esto a la estimación actual, que es más de 490,000 sitios web.
Revelando marcas prominentes impactadas como el servicio de streaming Hulu propiedad de Disney, The Guardian, Intuit, y muchos más.
Notamos que el sitio web Polyfill[.]io agregó un encabezado de 'Cloudflare Security Protection' a su página de inicio entre el 7 y 8 de marzo. Nos pareció extraño en ese momento, y a otros en la comunidad también. Un día después de nuestro reporte Cloudflare confirmó que no autorizaron su uso.
También observamos que la redirección maliciosa ocurría solo una vez por IP. Esto probablemente fue diseñado para eludir la detección el mayor tiempo posible.
Las consecuencias
El dominio Polyfill[.]io fue comprado a través de Namecheap. Durante la conmoción, Namecheap cerró el dominio como reportó MalwareHunterTeam en X:
Actualización muy importante/grande: en la última hora,
finalmente decidió eliminar el dominio polyfill[.]io.
No 👏 para ellos, para nada, porque les tomó mucho más tiempo del que debería, pero probablemente un pequeño agradecimiento aún por hacerlo tarde que nunca hacerlo...
🤷♂️
— MalwareHunterTeam (@malwrhunterteam)
El sitio luego volvió a estar en línea en Polyfill[.]com, pero también ha sido cerrado desde entonces.
Google también respondió. Dejaron de servir anuncios a sitios web con los scripts en ellos y presionaron a los propietarios de sitios quitándoles sus ingresos publicitarios para que eliminaran los scripts. Google también envió advertencias que mencionaban algunos otros dominios, como notó Michal Špaček en X:
Google ahora está enviando una advertencia sobre cargar JS de terceros desde dominios como polyfill.io bootcss.com bootcdn.net y staticfile.org que pueden hacer cosas desagradables a tus usuarios si tu sitio usa JS de estos dominios.
— Michal Špaček (@spazef0rze)
Lo que nos lleva de vuelta a MalwareHunterTeam quien investigó más. Mencionaron que todos estos dominios son gestionados por el mismo grupo. Esto fue confirmado cuando un token de API de Cloudflare y ZoneID fueron filtrados en GitHub.
Estos dominios incluían Polyfill[.]io pero también bootcdn[.]net, bootcss[.]com, polyfill[.]io, staticfile[.]net, staticfile[.]org y unionadjs[.]com.
Además, encontraron evidencia de código malicioso siendo servido a través de estos dominios. Afectando a cientos de miles de sitios web.
Actualización importante sobre la situación del ataque tipo cadena de suministro de polyfill[.]io.
Entonces, cuando Google comenzó a hacer advertencias de que los anuncios para páginas/sitios que usan polyfill[.]io pueden ser suspendidos, mencionaron 3 dominios más:
bootcss[.]com
bootcdn[.]net
staticfile[.]org
Pero de alguna manera todos…
— MalwareHunterTeam (@malwrhunterteam)
Estos dominios tampoco fueron listados como maliciosos por los proveedores de feeds de amenazas. Aunque algunos de estos dominios han estado sirviendo ataques a la cadena de suministro desde junio de 2023. Eso es más de un año de ataques no detectados.
Entonces, esperaba que los ataques tipo cadena de suministro usando esos servicios/dominios vinieran desde algún momento del año pasado, pero solo ahora confirmado gracias a
(
) que se remonta al menos al junio pasado, así que un poco más de 1 año…
— MalwareHunterTeam (@malwrhunterteam)
cside no existía para detectar esos en ese momento.
En un intento de salvar las apariencias, una cuenta de X con el nombre Polyfill comenzó a acusar a Cloudflare, los medios y otros de difamación. La cuenta fue creada en febrero de 2024, probablemente alrededor del momento en que ocurrió la venta del dominio.
Alguien nos ha difamado maliciosamente. No tenemos riesgos en la cadena de suministro porque todo el contenido está almacenado en caché estáticamente. Cualquier participación de terceros podría introducir riesgos potenciales a tu sitio web,
pero nadie haría esto ya que pondría en peligro nuestra propia reputación.
Ya hemos…— Polyfill (@Polyfill_Global)
El 30 de junio, el actor malicioso intentó poner su sitio en línea nuevamente en polyfill[.]site. Ha sido eliminado desde entonces.
El 1 de julio, salieron y pusieron su producto nuevamente. Esta vez bajo polyfillcache[.]com. Esperamos que esto sea eliminado nuevamente pronto.
Las lecciones aprendidas
Este ataque subraya el riesgo extendido de los scripts de terceros. Una vez integrados en miles de sitios web, se convierten en objetivos principales para actores maliciosos. Con unas pocas líneas de código, estos sitios web y millones de visitantes están en riesgo. Esta es un área sensible de la cadena de suministro web, sin embargo, las herramientas para monitorear la superficie de ataque están rezagadas y se usan escasamente.
cside fue creado para evitar que esto suceda. Nuestro script, que carga primero, fuerza a todos los demás a través de nuestro proxy. Allí, verificamos el código completo en busca de cualquier cosa maliciosa basándonos en más de 60 parámetros. Si nuestro motor de detección decide que no es seguro, el script se bloquea para que no se cargue. También optimizamos estos scripts para combatir cualquier latencia creada por el proxy, en muchos casos haciéndolos más rápidos en lugar de más lentos.
Nota del editor (2026): Este párrafo describe la arquitectura original de cside de 2024. cside ahora realiza una monitorización completa de los scripts del lado del cliente — un único fragmento de JavaScript de primera parte que observa lo que los scripts de terceros hacen realmente en los navegadores de visitantes reales, incluidos los payloads condicionales, segmentados por geolocalización y por hora (como este) que muestran código limpio a los escáneres y rastreadores. El proxy de entrega de scripts descrito arriba se retiró a principios de 2026.
El ataque de Polyfill sirve como recordatorio: las medidas de seguridad que no verifican el código completo antes de servirlo a los usuarios fallarán en detectar nuevos ataques y dependerán de detecciones a través de la comunidad, poniendo en riesgo a sitios web y visitantes.
Aquí el actor malicioso optó por solo redirigir a los usuarios a sitios web para adultos y de apuestas, sin embargo, podría haber sucedido algo mucho peor. Escuchar pulsaciones de teclas en un pequeño porcentaje de sesiones según la geolocalización y hora del día, inyectar malware, minar criptomonedas o reescribir botones en sitios para redirigir a portales de pago suplantados. Desde una simple redirección hasta capturar detalles de tarjetas de crédito, los ataques de JavaScript del lado del cliente pueden hacerlo todo. El ataque de Polyfill podría haber tenido un impacto mucho más negativo, de cierta manera tuvimos suerte. Que esto sea el recordatorio, debemos monitorear nuestros scripts del lado del cliente. Profundizamos en por qué esto fue mucho más que un simple ataque de redirección, y en 2025 la historia se cerró cuando la OFAC sancionó a Funnull, la empresa detrás del dominio.
Puedes asegurar tu sitio en segundos usando cside. Nuestro nivel gratuito protege tu sitio contra este y ataques similares.
