Blog

¿Por qué los sitios web necesitan scripts de terceros?

Al desarrollar un sitio web, a menudo incluirás bibliotecas para ayudar a acelerar el proceso de desarrollo y evitar reinventar la rueda. Sin embargo

Oct 10, 2024 • 6 min read

Simon Wijckmans Founder & CEO

websites-need-3rd-party-scripts-image-cover

Como los scripts de terceros entran en un sitio web

Al desarrollar un sitio web, a menudo incluirás bibliotecas para ayudar a acelerar el proceso de desarrollo y evitar reinventar la rueda. Sin embargo, hay ocasiones en las que necesitas cargar un script desde una fuente externa. Debido a ataques recientes como la toma de control del dominio Polyfill, se han planteado preguntas: ¿por qué siquiera necesitas scripts de terceros? ¿Cómo terminan en un sitio web?

Primero, establezcamos el contexto. Los scripts de terceros son archivos JavaScript servidos desde un servidor distinto al tuyo. Por ejemplo, supongamos que administro mi sitio web, cside.com. Este sitio web fue creado por un equipo de desarrolladores, quienes usaron varias bibliotecas para armarlo. Esto luego se compila / transforma / divide en archivos JavaScript más pequeños y menos numerosos de lo que originalmente era el código fuente. Esto es lo que llamamos JavaScript de primera parte: se sirve como un recurso dentro de cside.com, por ejemplo cside.com/_next/static/chunks/main-ab76c1828cff9b09.js.

Una semana después, un miembro del equipo de marketing le pide a los desarrolladores que agreguen un script al sitio para su producto de análisis preferido. Ahora, el sitio tiene su primer JavaScript de terceros. Este proceso puede continuar con el equipo legal solicitando un banner de cookies, marketing pidiendo otro script de análisis, y así sucesivamente.

Los desarrolladores conocen los riesgos del JavaScript de terceros, así que buscan en línea información sobre la herramienta, investigan un poco y la consideran confiable.

Este ciclo se repite hasta que hay una docena de scripts o más en la página. Todos legítimos, todos importantes y todos de terceros. En el peor de los casos, uno de estos dominios es comprado, se sirve tráfico malicioso y tu sitio se infecta.

Pero esto es exagerado, y no es así como suelen ocurrir los ataques. Los scripts de nivel superior en tu sitio generalmente no son los que se atacan, aunque eso es posible (consulta nuestro análisis de Polyfill aquí). A menudo, los scripts cargan otros scripts. Algunos scripts incluso pueden crear iframes y cargar aún más scripts. Así como tu código de primera parte usa varias dependencias, los scripts de terceros también tienen requisitos para hacerse funcionales y tienen su propia cadena de suministro.

A veces, incluso las bibliotecas de primera parte que agregas pueden cargar un script durante el tiempo de ejecución. Pueden proporcionar un componente React práctico para colocar en tu página, pero detrás de escena están agregando algunos scripts para hacerse funcionales. Ya sea cargando localización, sus propios análisis, temas o más, están agregando a la cadena de suministro de terceros de tu sitio web.

Entonces podrías pensar: ¿por qué no simplemente descargar estos scripts y alojarlos tú mismo? Para algunos scripts básicos, como jQuery, esta es una opción obvia, y una que recomendamos. Si estás tratando con un script estático en la cadena de suministro de tu sitio, llévalo a tu origen si es posible.

Sin embargo, muchos scripts sirven contenido dinámico basado en el solicitante. Por ejemplo, pueden mirar tu User Agent en la solicitud y decidir que necesitas una versión diferente con características adicionales. O pueden mirar tu IP y decidir enviarte una localización diferente del script.

Estos siguen siendo estáticos por usuario la mayor parte del tiempo, pero lo importante es que no son estáticos globalmente. Esto significa que al servir el script tú mismo, solo estarías sirviendo una variación, no el conjunto completo de scripts necesarios para dar a tus usuarios la mejor experiencia.

Algunos scripts incluso pueden tener URLs codificadas de forma fija a sub-scripts que cargarán. Esto significa que incluso si copias el script raíz a tu sitio, seguirá cargando scripts externos desde una URL remota.

Incluso las bibliotecas que podrías estar usando todos los días en tu aplicación siguen este patrón. Veamos algunos ejemplos:

El paquete npm de Intercom carga un montón de scripts en tiempo de ejecución:

https://developers.intercom.com/installing-intercom/web/installation#single-page-app

Snippet de instalación de Intercom para single-page apps cargando scripts adicionales

Vista del panel de cside mostrando los scripts de Intercom proxificados a través de cside

Incluso al usar herramientas de seguimiento de redes sociales, que son inevitables para la mayoría de las empresas que hacen marketing en redes sociales, lo primero que hacen los scripts que te dan es cargar otro script de terceros:

Snippet de seguimiento de Microsoft Clarity que carga scripts de terceros adicionales

O usas un paquete React como @monaco-editor/react, con más de 712,000 descargas semanales, que carga un script de terceros para gran parte de su funcionalidad: https://www.npmjs.com/package/@monaco-editor/react

Página de npm de @monaco-editor/react mostrando las descargas semanales

Entonces, ¿hacia dónde vamos desde aquí? Por eso existe cside. Hacemos proxy de cada script que se carga en la página, incluso los que se cargan durante el tiempo de ejecución. Reescribimos las URLs de los scripts para que pasen por nuestro Proxy de cside, que puede bloquear un script antes de que siquiera se sirva al cliente.

Nuestro proxy ofrece un punto de vista único: permitiendo políticas por URL, por dominio, por hash, por encabezados que pueden implementarse globalmente en segundos. Si algún script intenta cargar un script hijo, cside lo sabrá y le hará proxy. Y luego te dará el control para decidir qué sucede: permitir este script, bloquear este script, y los análisis que lo acompañan.

Por cada script que ve nuestro proxy, lo entregamos a nuestro motor de detección. Nuestro motor de detección desarma el script, hasta el nivel de AST, para descubrir qué hace. Y hacemos esto por cada pequeño cambio en un script, incluso si es un carácter. Podemos informarte de lo que está haciendo un script, cuándo cambia su acceso a tu sitio y una gran cantidad de información de confianza sobre la fuente.

Tenemos analistas de seguridad trabajando las 24 horas para detectar amenazas emergentes y bloquearlas en nuestra capa de proxy antes de que impacten a uno de tus clientes. Combina esto con el motor de detección automática mencionado anteriormente, y ahora tienes control total sobre la cadena de suministro de terceros de tu sitio.

Puedes registrarte en nuestro nivel gratuito aquí.

¿Te interesa la cadena de suministro del navegador? Si es así, únete a nosotros en la misión de proteger a cada usuario de la World Wide Web: https://cside.com/careers

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Widgets de chat, analítica, anuncios, A/B testing, pagos e incluso librerías de componentes de React traen JavaScript de terceros en tiempo de ejecución. El grafo de dependencias crece rápido porque cada script de tercero suele cargar a su vez más scripts.

Proxifica cada script a través de un monitor que vigile qué código se entrega realmente. cside reescribe las URLs de los scripts para que pasen por nuestro edge, bloquea cualquier cambio malicioso y muestra el payload real en el panel.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Riesgos de seguridad de la IA agéntica para sitios web: privacidad, cumplimiento y detección

Los navegadores de IA agéntica omiten el consentimiento de cookies, ejecutan JavaScript real y crean brechas de cumplimiento del RGPD que la detección de bots a nivel CDN no puede ver.

Cómo Bloquear DeepSeekBot en Tu Sitio Web

DeepSeekBot rastrea tu sitio para una empresa china de IA. Aprende a bloquearlo con robots.txt, reglas de IP y los riesgos reales de soberanía de datos que plantea.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre cumplimiento de scripts ante la Malta Gaming Authority

Cumplimiento de la Malta Gaming Authority y seguridad de scripts del lado del cliente: lo que los operadores con licencia MGA necesitan cubrir

Las reglas de MGA exigen una plataforma segura y auditable. El JavaScript de terceros es una brecha que la mayoría no ha auditado.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre ataques de scripts de terceros en plataformas de iGaming

Ataques de scripts de terceros en plataformas iGaming en 2026: la nueva superficie de ataque que los operadores pasan por alto

JavaScript de terceros es la mayor superficie de ataque sin supervisar en iGaming. Siete clases de ataque y por qué las herramientas no las detectan.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cumplimiento de HIPAA con tecnologías de seguimiento web: guía para el sector sanitario

La OCR del HHS determinó que los píxeles de seguimiento y los scripts de terceros en sitios web sanitarios pueden exponer PHI. Esto es lo que deben hacer las entidades cubiertas.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.