Blog Attacks

Condiciones de licencia de la UK Gambling Commission y seguridad de scripts de terceros: lo que los operadores necesitan saber

El LCCP de la UKGC exige un entorno técnico seguro. Los scripts de terceros que redirigen jugadores o exfiltran datos crean exposición directa.

Jun 27, 2026 • 13 min read

Mike Kutlu Client-Side Security Consultant

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre requisitos de seguridad de scripts de la UK Gambling Commission

Trabajando con operadores con licencia de la UKGC, la brecha que encontramos más consistentemente no está en sus políticas de juego responsable ni en sus controles AML. Está en la capa del browser. Los equipos de cumplimiento pasan meses preparándose para las revisiones de la UKGC y las investigaciones de la ICO, pero casi ninguno de ellos tiene una respuesta documentada a la pregunta: ¿qué JavaScript de terceros se está ejecutando en sus páginas orientadas al jugador en este momento? Cuando realizamos un análisis inicial para un nuevo operador, el hallazgo típico es de 40 a 80 scripts por sesión, con una proporción significativa que el equipo de cumplimiento no puede identificar de inmediato.

La UK Gambling Commission exige a los operadores con licencia un alto estándar de integridad técnica y protección del jugador. Lo que muchos equipos de cumplimiento aún no han tenido en cuenta es la capa del browser: el JavaScript que se ejecuta en el dispositivo del jugador después de que se carguen sus páginas. cside detectó más de 300.000 señales de ataque en los sitios monitorizados solo en el primer trimestre de 2025. Esta cifra se deriva de sesiones de usuario real instrumentadas en el parque monitorizado, contando cada comportamiento anómalo distinto (intento de redirección, exfiltración de datos, acceso a campos de formulario fuera del alcance declarado o activación de shadow pixel) como una señal separada. Una proporción significativa de esas señales se originó en scripts de terceros que los operadores o bien habían olvidado o bien asumían que eran benignos. Si un script en su dominio está redirigiendo a los jugadores, exfiltrando datos de formularios o cometiendo fraude de afiliados, el LCCP le hace responsable de ello.

Qué exige realmente el LCCP a nivel del browser

Respuesta rápida: Las Licence Conditions and Codes of Practice de la UKGC exigen a los operadores mantener un entorno técnicamente seguro para las interacciones con los jugadores. Aunque el LCCP no menciona los ataques a la cadena de suministro de JavaScript por su nombre, el Social Responsibility Code 3.4.1, el Ordinary Code 5.1 y las obligaciones antifraud colectivamente exigen a los operadores saber qué se está ejecutando en sus plataformas y prevenir cualquier daño a los jugadores desde cualquier fuente.

El LCCP no se lee como una especificación de ciberseguridad. Esa es parte del problema. Los equipos de cumplimiento se centran en las medidas de juego responsable, la verificación de edad y los estándares publicitarios, mientras que las condiciones del entorno técnico quedan en un segundo plano, asumiendo que las cubre el departamento de TI.

Las condiciones relevantes incluyen:

Social Responsibility Code 3.4.1: los operadores deben tomar todas las medidas razonables para proteger a los clientes de daños
Ordinary Code 5.1: los operadores deben mantener la integridad de sus sistemas y la seguridad de los datos de los clientes
Condiciones antilavado de dinero y antifraud: los operadores deben contar con controles para prevenir la actividad fraudulenta en sus plataformas
Estándares técnicos para sistemas de juego a distancia: las plataformas deben funcionar como los jugadores esperan que lo hagan

Los scripts de terceros pueden infringir todas estas condiciones sin que se comprometa una sola línea de su propio código. Un script de afiliado no autorizado que inyecta una superposición de un operador competidor, un tag de analítica comprometido que recopila datos de pago o un ataque de redirección que envía a los jugadores a otro sitio durante el depósito son todos fallos de integridad técnica bajo el LCCP. La Comisión no acepta "no sabíamos que estaba ahí" como defensa.

Cómo los scripts de terceros crean exposición bajo el LCCP

Respuesta rápida: El operador de juego medio carga de 40 a 80 scripts de terceros por sesión, cubriendo analítica, seguimiento de afiliados, chat en directo, CDNs y widgets de pago. Cada uno es un posible punto de entrada. Cuando cualquiera de estos scripts se comporta de forma incorrecta, los operadores se enfrentan a exposición bajo las condiciones de protección del jugador, integridad técnica y antifraud simultáneamente, independientemente de si el script tenía intención maliciosa.

El riesgo no es teórico. Los operadores descubren regularmente scripts en sus plataformas que no pueden explicar, ya sea porque fueron añadidos hace años por un miembro del equipo que ya no está, porque un contenedor de gestión de tags fue mal configurado o porque un proveedor legítimo fue comprometido en origen.

Los riesgos más comunes de scripts de terceros en plataformas de juego incluyen:

Scripts de redirección de afiliados que silenciosamente envían a los jugadores a plataformas competidoras en el momento de mayor intención (registro, depósito)
Herramientas de analítica o mapas de calor que capturan la entrada en campos de formulario, incluyendo datos de tarjetas de pago o documentos de identidad
Shadow pixels inyectados a través de GTM containers comprometidos que exfiltran datos de sesión de los jugadores a destinos desconocidos
Compromisos de la cadena de suministro al estilo Polyfill.js donde una biblioteca ampliamente utilizada es tomada y weaponizada (la divulgación de Sansec de junio de 2024 mostró que más de 490.000 sitios se vieron afectados simultáneamente)

Bajo el LCCP, cada uno de estos escenarios crea exposición regulatoria porque el daño ocurre en su plataforma con licencia, dentro de una interacción con el jugador de la que usted es responsable. La UKGC no distingue entre el daño causado por su código y el daño causado por un script de terceros que se ejecuta en su dominio.

Respuesta rápida: El Artículo 28 del UK GDPR hace a los operadores responsables de cualquier tratamiento de datos de jugadores por terceros que ocurra en su dominio. Si un script exfiltra datos de jugadores a un servidor externo, el operador es el responsable del tratamiento responsable de esa transferencia, aunque no instalara el script. La multa de 20 millones de libras de la ICO contra British Airways muestra la escala del riesgo de aplicación por controles técnicos de seguridad de datos inadecuados.

La acción de la ICO contra British Airways en 2020 sigue siendo el precedente más claro en el Reino Unido para los fallos de seguridad de datos a nivel del browser. La ICO impuso una multa de 20 millones de libras después de que atacantes comprometieran el sitio web de British Airways y utilizaran scripts inyectados para recopilar datos de pago de los clientes. La conclusión de la ICO fue inequívoca: la organización era responsable del tratamiento de datos que ocurría en su sitio web, independientemente del vector de ataque.

Para los operadores de juego con licencia del Reino Unido, el paralelismo es directo. Los datos de jugadores tratados en su dominio están sujetos al UK GDPR, y eso incluye los datos tratados por scripts de terceros sin su conocimiento.

Las obligaciones clave incluyen:

Artículo 5: los datos deben tratarse de manera lícita, leal y con integridad; los operadores no pueden alegar cumplimiento si scripts desconocidos están tratando datos de jugadores
Artículo 28: los terceros que tratan datos en su nombre requieren acuerdos de encargado del tratamiento documentados; un script que se ejecuta en su sitio sin contrato en vigor es una infracción estructural
Artículo 33: si una brecha de script resulta en la exposición de datos personales, los operadores tienen 72 horas para notificar a la ICO; este reloj comienza desde el momento en que se tiene conocimiento, y la mayoría de los operadores ni siquiera saben que se ha producido una brecha hasta días después

El informe IBM 2024 Cost of a Data Breach sitúa el coste medio global de una brecha en 4,88 millones de dólares. Para los operadores de juego regulados, hay que añadir la aplicación de la ICO, la revisión de la licencia de la UKGC y el daño reputacional con los procesadores de pagos, y la exposición es considerablemente mayor.

Cómo es una postura de monitorización de scripts lista para cumplimiento

Respuesta rápida: Una postura lista para cumplimiento para los operadores con licencia de la UKGC requiere un inventario completo y mantenido de cada script que se ejecuta en las páginas orientadas al jugador, alertas automatizadas cuando aparecen scripts nuevos o modificados, evidencia de lo que cada script envía y a quién, e informes listos para auditoría que puedan producirse a petición durante una revisión de la UKGC o una investigación de la ICO.

La mayoría de los operadores actualmente dependen de uno o más de los siguientes, ninguno de los cuales es suficiente por sí solo:

Monitorización a nivel de red (registros de CDN o WAF): captura solicitudes de red pero no puede ver lo que un script ejecuta tras su carga ni qué datos captura en memoria
Cabeceras de Content Security Policy: un control de referencia útil pero que requiere mantenimiento y no puede detectar exfiltración a través de endpoints permitidos
Auditorías manuales periódicas: una instantánea puntual que pasa por alto los cambios introducidos entre ciclos de auditoría
Plataformas de gestión del consentimiento (CMPs): gestionan el consentimiento para las herramientas conocidas pero no detectan scripts inyectados fuera del flujo de consentimiento

Una postura lista para cumplimiento requiere visibilidad en runtime: monitorización que instrumente sesiones de usuario reales en el browser y observe qué ejecutan los scripts, a qué datos acceden y dónde los envían. Esta es la capa que detecta los ataques de redirección de afiliados, los shadow pixels y los compromisos de la cadena de suministro en tiempo real en lugar de semanas después.

Los requisitos operativos para la preparación ante el cumplimiento de la UKGC incluyen:

Inventario completo de scripts: cada script de primera, tercera y cuarta parte en cada página orientada al jugador, incluidos los scripts cargados dinámicamente y los cargados condicionalmente
Detección de cambios: alertas cuando el comportamiento de un script cambia, aunque su URL no lo haya hecho
Detección de comportamiento anómalo: scripts que acceden a campos de pago, campos de identidad o almacenes de cookies sin una razón documentada
Rastro de evidencias: registros con marca temporal de cada evento de ejecución de script que puedan proporcionarse a la UKGC o a la ICO durante una revisión y utilizarse como base para la investigación forense e informes de auditoría PCI DSS

Cómo cside produce evidencias listas para auditoría para operadores con licencia de la UKGC

Respuesta rápida: cside instrumenta el 100% de las sesiones de usuario reales en el browser, no un subconjunto muestreado ni una simulación de proxy. Detecta cada script que se ejecuta en sus páginas orientadas al jugador, mapea los flujos de datos a destinos externos y genera las alertas de detección de cambios y anomalías que los equipos de cumplimiento necesitan para evidenciar los controles técnicos durante una revisión de licencia de la UKGC o una investigación de la ICO.

A diferencia de las herramientas a nivel de red como Cloudflare Page Shield, que monitoriza las solicitudes pero no puede ver lo que un script ejecuta tras su carga, cside opera dentro del browser donde vive el riesgo real. A diferencia de los enfoques basados en proxy, cside utiliza sesiones de usuario reales sin muestreo, lo que significa que detecta ataques intermitentes y scripts que solo se activan para ciertos segmentos de jugadores.

Para los operadores con licencia de la UKGC, cside proporciona:

Un inventario continuamente actualizado de cada script de primera, tercera y cuarta parte en las páginas orientadas al jugador
Alertas automatizadas cuando aparecen nuevos scripts o los existentes cambian su comportamiento
Detección de intentos de exfiltración de datos, inyecciones de redirección y fraude de afiliados
Registros de evidencias con marca temporal para cada evento de ejecución de script, adecuados para informes de auditoría PCI DSS, investigación forense y evidencia de cumplimiento continuo bajo los estándares técnicos del LCCP
Integración con los flujos de trabajo existentes de respuesta a incidentes y cumplimiento

En un despliegue en un sportsbook con licencia del Reino Unido de tamaño medio (detalles del operador anonimizados), cside descubrió 14 scripts de terceros con conexiones de red activas que el equipo de cumplimiento no había incluido en su inventario de scripts. Tres de esos scripts estaban enviando datos a destinos que el operador no podía identificar de inmediato. En las 48 horas siguientes al despliegue, el operador pudo producir un inventario completo, cerrar los flujos de datos no declarados e iniciar la documentación de DPA con dos proveedores previamente no documentados. Ese inventario pasó a formar parte de su archivo de evidencias de cumplimiento ante la ICO.

Los equipos de cumplimiento que utilizan cside pueden responder a una revisión técnica de la UKGC con un registro documentado de lo que ha estado ejecutándose en su plataforma, cuándo cambió y qué acción se tomó, en lugar de tener que reconstruir el panorama a posteriori.

Tipo de herramienta	Qué monitoriza	Qué no detecta
WAF / CDN (p. ej. Cloudflare Page Shield)	Solicitudes de red entrantes y salientes	Comportamiento de ejecución de scripts tras la carga; datos accedidos en memoria
Content Security Policy	Dominios de origen de scripts	Lo que los scripts aprobados hacen con los datos; exfiltración a través de endpoints permitidos
Plataforma de gestión del consentimiento	Herramientas declaradas dentro del flujo de consentimiento	Scripts añadidos fuera de la CMP; compromisos de la cadena de suministro; activación condicional
Auditoría manual periódica	Scripts presentes en el momento de la auditoría	Cambios entre ciclos de auditoría; scripts cargados dinámicamente
cside runtime monitoring	100% de la ejecución de scripts en sesiones reales	Diseñado para cerrar todas las brechas anteriores

Próximos pasos

Si su organización posee una licencia de la UKGC y actualmente no dispone de un inventario de scripts documentado ni de una capacidad de monitorización en runtime, los pasos inmediatos son: encomendar un inventario de scripts de sus páginas orientadas al jugador, evaluar qué envía cada script y a quién, identificar brechas respecto a sus acuerdos de encargado del tratamiento y establecer un mecanismo de detección de cambios para que las futuras incorporaciones queden registradas en tiempo real. La solución de seguridad del lado del cliente de cside y su capacidad de monitorización de la cadena de suministro están diseñadas específicamente para este flujo de trabajo. Si se está preparando para una revisión de licencia de la UKGC o una investigación de la ICO y necesita evidenciar controles técnicos, un despliegue de monitorización en runtime proporciona la trazabilidad de auditoría que las herramientas estáticas no pueden ofrecer.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El LCCP de la UKGC no hace referencia al JavaScript específicamente, pero el Social Responsibility Code 3.4.1 y el Ordinary Code 5.1 exigen a los operadores mantener la integridad técnica y proteger a los jugadores de daños en sus plataformas. Los reguladores interpretan estas condiciones de forma amplia. Cualquier fallo técnico que dañe a los jugadores, incluido el causado por scripts de terceros, entra dentro del ámbito de aplicación.

Sí. Según el Artículo 28 del UK GDPR, los operadores son responsables de todo el tratamiento de datos que ocurre en su dominio, incluido el tratamiento realizado por scripts de terceros. La multa de 20 millones de libras de la ICO contra British Airways estableció que la recopilación de datos a nivel del browser por terceros no exime al operador del sitio de responsabilidad.

Una Content Security Policy es una cabecera que restringe qué scripts pueden cargarse. Es un control de referencia útil pero requiere mantenimiento manual y no puede detectar la exfiltración a través de endpoints permitidos ni observar lo que los scripts aprobados hacen con los datos de los jugadores tras su carga. La monitorización de scripts en runtime opera dentro del browser y observa el comportamiento real de los scripts en sesiones de usuario reales.

El Artículo 33 del UK GDPR exige la notificación a la ICO en un plazo de 72 horas desde que se tenga conocimiento de una violación de datos personales. El desafío es que la mayoría de los operadores no saben que se ha producido una brecha de scripts hasta mucho después de que comience. La monitorización de scripts en tiempo real reduce significativamente la brecha entre la detección y el conocimiento.

Sí. cside opera a nivel del browser y complementa las herramientas a nivel de red en lugar de reemplazarlas. Los WAFs y las CDNs protegen el perímetro del servidor. cside protege la capa de sesión donde los datos de los jugadores se manejan realmente. Las dos capas no son intercambiables.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.